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译 痢 序 


众所周知 ，IT 行业 是 一 个 变化 非常 快 的 行业 ， 计 算 机 网 络 作为 其 中 的 一 
个 分 支 尤 为 明显 ， 这 一 点 从 业内 赫赫 有 名 的 思科 公司 网 络 工程 师 认 证 有 
效 期 只 有 短 短 两 年 便 可 见 一 班 。 正 是 这 飞速 变化 的 特性 ， 导 致 网 络 硬件 
设备 的 更 新 换代 也 日 新 月 异 、 千 变 万 化 ， 从 而 让 很 多 初学 者 在 学 习 了 基 
本 网 络 原 理 后 ， 对 实际 的 计算 机 网 络 依然 是 一 知 半 解 ， 尤 其 是 对 其 中 各 
类 网 络 便 件 设备 的 认识 更 是 犹如 浮 光 拒 影 ， 这 同 初学 者 深入 掌握 计算 机 
网 络 技术 的 殷切 期 望 形 成 了 巨大 的 歼 盾 。 


学 习 技 术 的 道路 上 没有 所 谓 的 银 弹 ， 相 信 本 书 能 够 在 很 大 程度 上 解决 这 
个 矛盾 ， 帮 助 读者 扫 清 学 习 计 算 机 网 络 拉 术 时 过 到 的 菜 些 障碍 。 


技术 无 国界 ， 本 书 作者 三 轮 贤 一 曾 从 事 ATM 交换 设备 中 TCP/IP 模块 
的 开发 ， 长 期 在 硅谷 网 络 设备 公司 日 本 分 公司 任职 ， 是 一 名 资深 的 业内 
人 士 。 同 其 他 介绍 计算 机 网 络 知识 的 图 书 相 比 ， 本 书 在 谋 篇 布局 上 以 
OSI 网 络 七 层 模 型 中 各 层 所 涉及 的 硬件 设备 为 主线 ， 依 次 介绍 了 在 实际 
组 网 工程 中 使 用 的 各 个 人 硬件 设备 一 一 交换 机 、 路 由 器 、 防 火 墙 等 ， 还 使 
用 了 一 个 章节 的 篇 幅 介 绍 了 网 络 硬件 设备 在 采购 、 运 维 方面 的 注意 事 
项 ， 层 次 分 明 、 具 体 真 实 ， 不 再 “故弄玄虚 ”， 在 叙述 的 方式 方法 上 ， 本 
书 不 但 通过 大 量 实物 上 照片、 详实 参数 、 图 表 等 充分 还 原 了 那些 在 计算 机 
网 络 原理 中 提 到 的 种 种 “理论 ”网 络 设 备 ， 而 且 在 其 中 大 量 穿 插 介 绍 了 各 
类 设备 所 涉及 的 进 阶 网 络 基础 知识 和 概念 ， 如 VPN、QoS、OSPF、 
RIP、MPLS 等 ， 理 论 结合 实践 ， 不 再 “纸上谈兵 ”， 除 此 之 外 ， 本 书 还 
有 一 个 特色 是 作者 在 对 每 一 类 硬件 设备 展开 介绍 之 前 ， 总 会 用 相当 的 篇 
幅 来 回顾 一 下 该 类 设备 的 发 展 历史 ， 不 惜 笔墨 地 介绍 该 类 设备 的 技术 沿 
革 和 所 涉及 的 重要 人 物 、 公 司 及 标志 性 历史 事件 ， 在 帮助 读者 了 解 计算 
机 网 络 技 术 发 展 来 龙 去 脉 的 同时 ， 也 让 读者 慢 慢 体会 到 本 书 在 非 技 术 角 
度 所 反映 出 的 历史 人 文 底蕴 ， 同 单纯 刻板 介绍 计算 机 网 络 设 备 的 认证 教 
材 、 快 速 建 网 指南 等 书籍 有 着 本 质 的 不 同 。 


综 上 所 述 ， 本 书 适合 以 下 读者 群体 : 


1. 对 于 学 习 了 计算 机 网 络 原理 ， 想 了 解 计 算 机 网 络 真 实 设 备 情 况 的 读者 
来 说 是 不 可 或 缺 的 参考 资料 ， 也 可 作为 大 学 课程 《计算 机 网 络 》 的 扩展 
































读物 。 
2. 对 于 学 习 CCNA、CCIE 等 的 读者 来 说 是 锅 上 添 花 的 辅助 读物 。 


3. 对 于 从 事 计算 机 网 络 设备 开 肥 、 测 试 、 采 购 等 相关 工作 的 工程 技术 人 
员 而 言 ， 也 非常 具有 参考 价值 。 


译 者 在 从 事 了 多 年 网 络 设备 的 开发 和 测试 工作 后 ， 非 常 有 幸 能 够 翻译 这 
么 一 本 书籍 。 与 此 同时 也 由 衷 感叹 ， 我 国 在 计算 机 网 络 工 程 实践 的 撤 术 
方面 ， 尤 其 在 我 国 计 算 机 网 络 便 件 设 备 已 经 颐 具 国际 竞争 力 的 今天 ， 非 
常 缺 乏 本 书 这 类 的 书籍 。 由 于 原作 者 的 局 限 性 ， 本 书 对 我 国 现 网 中 普遍 
使 用 的 华为 、 中 兴 、H3C 等 公司 生产 的 计算 机 网 络 人 硬件 设备 几乎 只 字 未 
提 ， 这 一 扣 不 得 不 说 非常 遗憾 ， 不 过 译 者 也 相信 在 不 久 的 未 来 会 有 类 似 
的 书籍 能 够 弥补 这 一 空缺 。 


和 
/XX o 


最 后 ， 详 者 非 第 感谢 在 翻译 本 书 过 程 中 ， 妻 子 所 给 予 的 默默 文 持 ! 
盛 东 


2014 年 5 月 
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采 言 


随 独 互联 网 的 普及 ， 在 企业 的 开 部 门 以 及 系统 集成 商 中 专门 从 事 计 算 
机 网 络 工作 的 工程 师 越 来 越 多 。 


目前 ， 市 面 上 介绍 计算 机 网 络 技术 的 书籍 ， 几 乎 都 是 类 似 《简单 的 计算 
机 网 络 入 门 》 这 种 适合 那些 对 网 络 一 无 所 知 的 初学 者 的 入 门 书 ， 或 者 是 
《深入 学 习 TCP/IP 网 络 》 这 种 介绍 TCP/IP 技术 及 协议 规范 的 书籍 。 这 
类 书 有 助 于 初学 者 从 网 络 用 户 或 管理 员 的 视角 来 思考 ， 建 立 必 要 的 知识 
体系 ， 因 此 一 般 被 用 作 学 校 教材 或 自学 读本 。 


但 是 在 企业 中 实际 使 用 计算 机 网 络 时 ， 除 了 需要 掌握 基础 知识 以 外 ， 还 
需要 进一步 了 解 计 算 机 网 络 人 硬件 的 采购 、 配 置 、 设 置 、 使 用 管理 等 相关 
知识 。 在 过 去 的 10~20 年 里 ， 计 算 机 网 络 人 硬件 不 断 地 更 新 换代 ， 研 发 、 
文 持 的 功能 越 来 越 多 ， 产 品 操作 手册 也 越 来 越 厚 ， 但 术语 的 解释 说 明 却 
仍旧 匮乏 ， 读 者 仅 靠 听课 或 自学 是 很 难 读 懂 这 些 手 册 的 。 
因此 ， 为 了 让 那些 有 一 定 计算 机 网 络 基础 的 工程 师 掌 握 更 加 具有 实践 性 
人 
芭 o 
因为 网 络 硬件 应 用 于 不 同 的 领域 ， 所 以 本 书 将 围绕 以 下 要 点 来 介绍 各 个 
产品 的 规格 及 功能 : 在 该 领域 存在 怎样 的 硬件 产品 、 为 什么 需要 这 些 硬 
件 产 品 、 这 些 产品 的 结构 如 何 、 这 些 产 品 有 哪些 规格 和 局 限 性 等 。 
三 纶 贰 一 
2012 年 10 月 











本 书 出 现 的 信息 与 通信 便 件 一 哆 





客户 端 集线器 





交换 机 分 布 式 交 换 机 核心 交换 机 





无 线 LAN 接 入 点 服务 器 


第 1 半 网 络 便 件 通用 基础 知识 


本 章 将 介绍 所 有 了 网络" 硬件 通用 的 物理 层 标 准 一 一 以 太 网 的 历史 、 
标准 种 类 及 其 实现 方法 。 另 外 ， 还 将 进一步 介绍 CPU、 硬 租 、 电 
源 、 线 线 等 组 成 网 络 设备 所 需 部 件 的 相关 知识 。 


1 网 络 是 一 个 很 大 的 概念 。 本 书 所 指 的 网 络 特 指 计算 机 网 络 ， 需 要 和 传统 的 电信 网 络 加 以 区 
分 。 下 文中 若 无 特 别 说 明 ， 网 络 均 指 计算 机 网 络 。 一 一 译 者 注 




















01.01 网 络 的 构成 要 素 


01.01.01 网 络 有 哪些 构成 要 素 

构建 网 络 所 需 的 硬件 一 般 包 括 交 换 机 、 路 由 器 等 网 络 硬 件 ， 以 及 个 人 计 
算 机 、 服 务 器 等 计算 机 硬件 ， 这 些 硬件 统称 为 节点 ， 节 点 之 间 可 以 通过 
链 路 进行 连接 ( 表 1-1) 。 


表 1-1 网 络 的 构成 要 系 





节点 计算 机 、 交 换 机 、 路 由 器 等 构 
| pi 件 均 可 称 为 通信 节 


























(node) 








链 路 泛 指 将 各 个 节点 进行 连接 的 逻 
Clink) 辑 线 路 ， 物 理 上 可 以 使 用 有 线 
线 缆 或 者 无 线 电波 
主机 通过 网 络 为 其 他 机 器 提供 服务 
(host) 的 计算 机 ， 也 称 为 服务 器 


指 从 主机 处 获得 服务 的 计算 机 
《如 个 人 计算 机 等 ) ， 也 称 为 


终端 或 者 Terminal 。_ 服务 响应 

















客户 端 
(client) 





客户 端 服务 器 型 与 点 对 点 型 


根据 主机 和 客户 端 承 担 角色 的 不 同 ， 可 以 将 网 络 分 为 客户 端 服 务 器 型 和 
点 对 点 型 ( 表 1-2) 。 


表 1-2 客户 端 服务 器 型 与 点 对 点 型 


























一 种 严格 区 分 服务 提供 方 和 服务 接受 方 的 架构 。 客 户 端 向 服务 器 请 求 服务 ， 
而 服务 器 响应 客户 端的 服务 请 求 。 也 称 为 垂直 分 布 或 功能 垂直 分 布 系统 
例如 : HTTP 通信 






































一 种 不 严格 区 分 服务 提供 方 和 服务 接受 方 的 架构 。 参 与 网 络 的 计算 机 可 能 成 
为 网 络 中 的 服务 器 ， 也 可 能 成 为 网 络 中 的 客户 端 。 也 称 为 水 平分 布 或 功能 水 
平分 布 系统 

例如 : Skype 通信 








LAN 和 WAN 


在 公司 或 学 校内 构建 的 LAN (Local Area Network， 局 域 网 ) 与 通信 服 
务 供应 商 提 供 的 WAN (Wide Area Network， 广 域 网 ) 有 很 大 的 不 同 
(家 133 和。 





表 13 LAN/MAN/WAN 


Local Area 于 机 构 内 部 通信 与 信息 传递 。 常 使 用 以 太 网 技术 在 公司 或 学 
Network 以 过 局 部 的 地 理 区 国内 移 建 网 中。 LAN 分 为 使 用 线 缆 的 有 线 
LAN 和 使 用 电波 的 无 线 LAN。 一 般 在 LAN 内 部 使 用 私有 人 地 址 








































































































Metropolitan | 使 用 光缆 在 相距 较 远 的 校园 园区 或 城市 内 建立 通信 的 网 络 ， 比 
THE 


Area 
Network 





LAN 的 范围 要 广 














Wide Area | 范围 比 LAN 和 MAN 都 要 广 ， 用 于 路 地 区 或 国家 间 远 程 通信 。 
Network 般 由 电信 运营 商 建设 。 在 WAN 中 可 以 使 用 全 局 了 P 地 址 进行 通信 





























在 大 部 分 情况 下 ，LAN 可 以 使 用 以 太 网 帧 格式 的 以 太 网 〈Ethernet) 协 
议 标 准 进行 通信 ， 在 网 络 中 还 能 够 使 用 文 持 该 标准 的 交换 机 和 路 由 器 
而 使 用 线 缆 连 接 的 LAN 时 ， 用 户 的 个 人 计算 机 则 可 以 通过 以 太 网 线 

( 双 绞 线 ) 连接 交换 机 ， 然 后 由 交换 机 连接 路 由 器 ， 最 终 在 路 由 器 处 理 
跨越 异 构 子 网 和 发 送 至 互联 网 的 通信 


而 MAN (Metropolitan Area Network， 城 域 网 ) 和 WAN 是 在 地 理 位 置 

相距 较 远 的 各 点 间 建 立 起 的 计算 机 通信 了 网络。 比如 ， 一 个 大 型 企业 的 总 
部 与 各 个 分 部 的 连接 就 会 使 用 WAN。WAN 服务 如 表 1-4 所 示 ， 有 很 多 
种 类 。 使 用 方 可 以 根据 连接 组 网 的 地 点 能 否 使 用 该 服务 、 通 信 速 度 、 可 
靠 性 、 租用 资费 等 情况 进行 选择 。 


表 1-4 WAN 服务 的 种 类 


“在 中 国 ， 三 大 运营 商 〈 中 国 移动 、 中 国联 通 、 中 国电 信 ) 提供 表格 中 所 述 的 业务 。 一 一 译 者 









































2 NTT 东 日 本 、NTT 
数据 
































j 日 本 、KDDI、 软 银 、 电 力 公司 















































数据 专线 ”|NTT 东 日 本 、NTT 西 日 本 


可 以 将 互联 网 理解 为 全 世界 范围 内 WAN 的 互联 。 家 庭 或 者 企业 在 连接 
互联 网 时 ， 需 要 与 供应 商 〈ISP， 互 联网 服务 供应 商 ) 签订 合同 ， 通 过 
供应 商 提 供 的 接 入 点 来 完成 连接 。 而 接 入 点 的 连接 则 需要 通过 电信 运营 
商 3 提供 的 承载 服务 来 完成 ， 承 载 服务 包括 光缆 线路 、ADSL、 移 动 通 
信 了 网 、 公 共 无 线 LAN 等 。 











广 域 以 太 网 1NTT 东 日 本 、NTT 西 日 本 、NTT 通 信 
XX 






























































3 在 中 国 ， 一 般 ISP 和 电信 运营 商 是 同一 家 公司 ， 如 中 国电 信 、 中 国联 通 等 。ISP 中 较为 著名 
的 有 歌华 宽带 、 长 城 宽带 等 。 译 者 注 

















01.01.02 ”OSI 参考 模型 复习 
OSI 参考 模型 


在 20 世纪 70 年 代 ， 部 分 企业 为 了 降低 成 本 、 提 高 生产 效率 而 引入 了 当 
时 最 新 开发 出 的 以 太 网 技术 和 TCP 协议 等 。 但 当时 使 用 的 网 络 协议 主 
要 有 IBM 公司 的 SNA、Apple 公司 的 AppleTalk、Novell 公司 的 
NetWare、 美 国 DEC 公司 的 DECnet 等 。 它 们 使 用 的 网 络 硬件 也 因 不 同 
0 商 而 大 相 径 庭 ， 因 此 出 现 了 不 同 网 络 之 间 不 能 互联 以 及 扩容 困 
难 的 问题 。 


为 了 解决 这 一 问题 ， 使 得 任何 厂商 生产 的 网 络 人 硬件 之 间 都 能 够 互联 互 
通 ， 从 1977 年 开始 ，ISO (国际 标准 化 组 织 ) 与 CCITT (国际 电报 电 





话 咨询 委员 会 ， 现 在 的 ITU-T” ) 逐步 展开 了 制定 异种 网 络 系统 结构 标 
准 的 工作 ， 当 时 完成 的 标准 化 的 协议 禾 称 为 OSI 〈Open Systems 
Interconnection， 开 放 系 统 互联 ) 。 到 了 1983 年 ， 两 大 标准 组 织 在 该 问 
题 上 达成 一 致 " ， 制 定 了 称 为 OSI 基本 参考 模型 (Basic Reference 
Model for Open Systems Interconnection，OSI 参考 模型 或 OSI 模型 ) 的 
分 层 网 络 模型 。 该 标准 最 终 成 文 于 ISO 的 ISO7498 与 CCITT 的 
X.200。 

















4 即 国际 电信 联盟 远程 通信 标准 化 组 织 ， 是 制定 通信 网 络 标准 的 最 高 组 织 。 译 者 注 
























































” 最初， 两 大 标准 化 组 织 关注 的 领域 不 同 ， 国 际 电报 电话 咨询 委员 会 侧重 传统 电信 网 络 的 标准 
制定 ，ISO 则 制定 更 高 层面 的 网 络 互联 互通 标准 。 但 后 来 随 着 网 络 技术 的 发 展 ， 在 网 络 规范 的 
部 分 二 者 界限 越发 模糊 ， 出 现 了 二 者 互 融 的 情形 ， 最 终 该 模型 以 两 大 组 织 颁 布 不 同 的 文件 来 确 
认 而 收尾 。 一 一 译 者 注 






























































准确 地 说 ，OSI 参考 模型 是 仅 对 应 OSI 协议 艇 的 分 层 模 型 ，TCP/IP 等 
其 他 协议 簇 也 会 多 次 提 及 该 标准 。 如 LL3 交换 机 中 的 L3 表示 该 交换 器 
处 理 到 OSI 参考 第 3 层 (Layer 3) 为 止 。 类 似 这 样 ， 将 OSI 模型 的 术 
语 作 为 网 络 术 语 使 用 的 例子 非常 普 裔 。 

使 用 分 层 结 构 模 型 具有 以 下 优点 。 

1. 根据 网 络 实 际 处 理 过 程 ， 按 功能 分 类 ， 从 而 便于 理解 和 掌握 。 

2. 能 够 定义 标准 接口 ， 使 不 同 厂 商 制造 的 硬件 之 间 可 以 互联 。 

3. 工程 师 在 设计 与 研发 网 络 硬件 时 ， 可 以 把 思维 限定 在 一 定 范围 内 。 
4. 当 某 层 内 部 发 生变 化 时 ， 不 会 给 其 他 层 带 来 影响 。 

由 于 OSI 参考 模型 是 ISO 制定 的 ， 因 此 所 有 的 内 容 均 用 英语 表述 。 该 
模型 中 的 7 层 分 别 表示 为 L1 (Layer 1= 物理 层 ) 、L2 (Layer 2= 数据 
链 路 层 ) ..………. ( 表 1-5) 。 


表 1-5 OSI 参考 模型 分 层 














正式 名 称 











第 1 与 数据 处 理 没有 直接 关系 。 该 层 定义 了 发 起 、 维 持 和 结束 终端 





































































































层 “| 物理 层 系统 间 物 理 连 接 的 电气 特性 、 机 械 特性 、 步 又 、 功 能 等 规格 。 
Layer | (Physical 体 而 言 ， 该 层 定义 电 平 大 小 、 电 平 变 化 时 机 、 物 理 数据 传输 
1 Layer) 速率 、 最 长 通信 距离 、 连 接 器 的 物理 形状 等 内 容 。 该 层 传输 的 
L1 数据 为 0 或 1， 也 称 为 比特 序列 《比特 流 ) 





























数据 链 路 层 “| 保障 数据 在 通信 介质 〈 通 信 线 缆 等 ) 上 传输 。 通 过 使 用 物理 层 
(Data-link “| 地 址 〈 如 MAC 地 址 ) 来 确认 数据 会 发 送 至 何 处 。 该 层 传输 的 
Layer) 数据 称 为 帧 (Frame) 























网 络 层 定义 两 个 终端 系统 之 闻 (地 理 上 距离 很 远 ， 可 能 还 有 其 间 经 过 


人 多 个 网 络 硬件 的 情况 ) 的 连接 和 传输 路 径 的 选择 〈 路 由 ) 


























传输 层 隐藏 通信 实现 的 细节 ， 癌 上 层 提供 数据 通信 服务 。 为 了 实现 高 
A 可 靠 性 的 通信 ， 该 层 负 责 建立 、 维 持 、 释 放 虚 电路 〈Virtual 
































T Transpor | Circuit》 ， 检 测 并 纠正 通信 故障 ， 提 供 流量 控制 服务 以 防止 通 
人 信 对 方 数据 滋 出 





会 话 层 规定 了 通信 开始 与 结束 时 发 送 数据 的 形式 等 内 容 。 在 该 层 内 建 
(Session 0 会 话 (Session) 是 指 在 两 个 通信 系统 之 
Layer) 进行 逻辑 通信 从 开始 到 结束 的 过 程 



































表示 层 
(Presentation | 定义 传输 数据 所 使 用 的 压缩 方式 以 及 数据 的 表现 形式 等 
Layer) 
































宽 7 
家 er ee 定义 电子 邮件 SMTP、 文 件 传输 的 FTP、 使 用 Web 浏 览 器 浏览 
7 Layen 网 页 的 HTTP 等 用 于 特定 目的 的 软件 规格 





表 1-6 OSI 参考 模型 对 应 的 数据 形式 与 网 络 协议 范例 


层级 数据 形式 主要 网 路 协议 


比特 流 (0 与 1 的 ”|EIA/TIA-232 (RS-232C) 、V.35、V.24、IEEE 802.3、 
序列 ) FDDI、NRZ 等 




















IEEE 802.2、 帧 中 继 、ATM、PPP、HDLC 等 




















“EE EL 


分 组 L3 首 部 有 效 载荷 


段 L4 首 部 应 用 数据 


IP 分 组 
en 


TT TE 
OC 
TCP 段 


以 太 网 帧 格式 





图 1-1 L2~L4 的 数据 形式 
TCP/IP 层 模型 


TCP 分 层 模型 是 1970 年 DARPA (美国 国防 先进 研究 项 目 局 ) 设计 
的 、 在 RFC1122 中 定义 的 网 络 分 层 模 型 ， 也 可 称 为 TCP/IP 模型 、 互 联 
网 模型 等 ， 该 模型 在 不 同文 献 中 的 表述 也 有 所 不 同 ( 表 1-7、 表 1-8) 。 


表 1-7 OSI 参考 模型 与 TCP/IP 分 层 模型 的 对 应 


OSI 各 层 名 称 TCP/IP 各 层 名 称 


a 据 链 路 层 〈 网 络 接 网 络 接 入 层 ) 注 
数据 链 路 层 数据 链 路 层 〈 网 GR 入 层 








传输 层 传输 层 


EE 











注 1: TCP/IP 分 层 模型 的 数据 链 路 层 同 OSI 参考 模型 的 物理 层 地 位 相当 ， 但 并 没有 对 硬件 以 及 
物理 数据 传输 等 进行 标准 化 定义 。 








表 1-8 ”TCP/IP 分 层 模 型 与 所 对 应 的 网 络 硬 件 


(网 络 接口 








0 无 线 LAN 接 入 





传输 层 曾 了 《TCP 前 口 、UDPP 着 | 4 交换 机 、 防 火 墙 























必用 层 根据 应 用 程序 的 不 同 而 不 同 “|L7 交 换 机 、 防 火 墙 、 代 理 











01.02 LAN 和 以 大 网 


01.02.01 LAN 的 标准 
DIX 标准 


以 太 网 (CSMA/CD) 以 美国 施乐 公司 〈Xerox) 帕 罗 奥 多 研究 中 心 的 罗 
伯 特 : 梅 特 卡 夫 〈Robert Metcalfe) 博士 所 设计 的 功能 为 原型 ， 由 IEEE 
于 1973 年 组 织 发 布 。 当 时 的 施乐 公司 正在 开发 将 大 楼 内 部 数 百 台 计 算 
机 进行 联网 的 项 目 ， 为 了 将 不 同 制 造 厂 商 生 产 的 设备 进行 连接 ， 美 国 

DEC 公司 、Intel 公司 、 施 乐 公司 共同 完成 了 以 太 网 的 标准 化 工作 6 。 

这 份 10Mbits 的 以 太 网 标准 的 命名 取 目 三 家 公司 的 首 字母 ， 被 称 为 DIX 
以 太 网 。 这 份 标准 作为 标准 化 文件 在 1980 年 发 布 了 第 1 版 ， 之 后 又 在 
1982 年 发 布 了 第 2 版。 现在 人 们 常 说 的 DIX 以 太 网 指 的 是 第 2 版 ， 因 
此 本 文中 所 提 到 的 以 太 网 帧 格式 也 被 称 为 Ethernet II 成 帧 。 


6 这 段 历史 很 有 意思 。 1 家 十 分 重要 的 公司 的 参与 ， 即 从 施乐 公司 离职 
的 罗伯特 : 梅 特 卡 夫 博 士 创 建 译 者 注 






































IEEE 802.3 


1980 年 2 月 ，IEEE 的 802 委员 会 (委员 会 的 名 称 由 会 议 召 开 的 年 份 和 
月 份 组 成 ) 制定 了 LAN 技术 的 国际 标准 。1983 年 又 以 DIX 以 太 网 第 2 
版 为 原型 ， 制 定 了 IEEE 802.3 (10BASE5) 标准 。IEEE 802.3 中 的 帧 格 
式 取消 了 DIX 以 太 网 标准 中 的 以 太 网 类 型 字段 ， 取 而 代 之 的 是 使 用 表 
示 数 据 域 长 度 的 字段 (图 1-3) 。 








YY 


IEEE 802.1 BRIDGING 


| ligEE | eeEe lieEE | EEE |IEEE 
802:3| 802.4|802.5| 802.6|802.9 B02.11|80 1 


图 1-2 OSI 参考 模型 与 DIX 以 太 网 以 及 IEEE 802 的 关系 





钨 DIX 以 太 网 
8 位 6 6 2 46 ~1500 4 


一 僵 一 一 一 一 一 僵 一 一 一 一 一 僵 一 一 一 一 一 一 
目的 地 址 源 地 址 
湾 “类 型 ”字段 的 数值 在 1500 以 上 。 
@ IEEE 802.3 


7 位 1 6 2 46 ~1500 4 


6 
一 人 一 一 一 人 一 一 "WP YY 
长 度 /类 型 


湾 “发 度 /类 型 ”字段 的 数值 在 1500 以 下 时 表示 长 度 字 段 ， 在 1563 以 上 时 表示 类 型 字段 ， 并 进行 相应 的 解析 。 
图 1-3 以 太 网 帧 格式 
以 太 网 的 标准 


以 太 网 原本 仅 指使 用 CSMA/CD 传输 媒介 的 控制 方式 ， 实 际 通 信 速 率 为 
10Mbit/s 的 标准 〈 表 1-9 中 的 狭义 以 太 网 ) 。 随 着 时 间 的 推移 ， 同 样 使 
用 CSMA/CD 技术 以 及 以 太 网 帧 格式 ， 但 通信 速率 为 100Mbits 的 快速 
以 太 网 和 速率 为 1Gbits 的 千 兆 以 太 网 逐步 登场 。 而 且 从 快速 以 太 网 开 
台 ， 还 出 现 了 采用 了 全 双 工 通信 方式 ， 而 不 是 CSMA/CD 技术 的 以 太 
网 。 


到 千 光 以太 网 ， 半 双 工 通信 中 依然 保留 了 CSMA/CD 技术 规范 ， 到 了 万 
、 就 彻底 移 除 了 CSMA/CD 规范 ， 所 有 通信 方式 均 采 用 全 双 工 
7 Ts 




















目前 ， 以 太 网 这 一 术语 一 般 用 来 表示 图 1-3 中 使 用 以 太 网 帧 格式 进行 通 
信 的 网 络 ( 即 表 1-9 中 的 广义 以 太 网 ) 。 


表 1-9 以 太 网 的 分 类 


狭义 以 太 网 DIX 以 太 网 10Mbit/s 以 大 网 使 用 CSMAJCD 
IEEE 802.3 


IEEE 802.3u 100Mbit/s 以 太 网 可 以 选择 使 用 CSMA/ACD 
IEEE 802.3z 1Gbit/s 以 太 网 











IEEE 802.3ae 10Gbit/s 以 太 网 不 使 用 CSMAyCD 


IEEE 802.3 标准 根据 使 用 的 传输 线 绕 和 传输 速度 的 不 同 ， 有 10BASE- 
T、10BASE-TX 等 名 称 。 命 名 规则 如 图 1-4 所 示 ， 规 则 更 为 详细 的 信息 
如 表 1-10~1-14 所 示 。 


1000 BASE-S X 





速度 ”调制 方式 ”传输 媒介 ”编码 体系 lane 


Dl 


40GBASE-LR4 
图 1-4 标准 的 命名 规则 
“Lane 是 在 40G/100G 以 太 网 传输 媒介 中 使 用 的 并 行 传输 通道 
表 1-10 IEEE 802.3 定义 的 链 路 速 


ER 








100 100Mbit/s 






100G 100Gbit/s 


* 速率 表 项 (传输 速率 使 用 M (G) bits 为 单位 表示 ) 


表 1-11 IEEE 802.3 定义 的 调制 方式 


BASE Baseband〈 基 带 信 号 ) 。1 根 线 缆 只 传输 1 个 信和 号 
BROAD Broadband (宽频 信号 ) 。1 根 线 缆 能 够 传送 多 个 信和 号 


表 1-12 IEEE 802.3 定义 的 传输 媒介 


传输 媒介 
最 长 为 500 米 的 粗 同 轴线 缆 


Twisted Pair( 双 绞 线 ) 
































最 长 为 185 米 的 细 同 轴线 线 














Fiber (光纤 ) 


ee 
Bi-directional (1 忌 单 模 光 缆 ) 

s Short Reach (100m) (2 忌 多 模 光 缆 

a Long Reach (10km) (2 心 单 模 或 多 模 光 统 ) 

Extended Long Reach (40km) 《〈2 必 单 模 光 缆 ) 
总 Long Reach Simple Mode (70km) 〈2 芯 单 模 光 缆 ) 


Co-axial (2 心平 衡 式 屏蔽 同 轴线 缆 ) 









































PON 〈1 芯 单 模 光 缆 ， 单 点 到 多 点 ) 


编码 体系 
在 快速 以 太 网 时 使 用 4B/5B 作 为 分 组 码 
在 干 兆 以 太 网 时 使 用 8B/10B 作 为 分 组 码 
使 用 64B/66B 作 为 分 组 码 


编码 体系 


缆 中 表示 使 用 4 个 或 者 10 个 lane 







































































N《〈 任 意 数 字 ) | 在 光纤 中 ，lane 还 可 以 表示 波长 数量 。 波 长 为 1” 时 ， 可 以 省 略 








01.02.02 ”以 太 网 
10Mbit/s 以 太 网 


最 初 的 正 EE 802.3 标准 被 称 为 10BASE5， 传 输 速率 为 10Mbit/s， 使 用 
粗 同 轴线 缆 作 为 网 络 传输 媒介 。1988 年 ，IEEE 802 委员 会 增加 了 
10BASE2(802.3a) 标准 ， 以 更 方便 的 细 同 轴线 统 作为 传输 媒介 。1990 
年 又 制定 了 10BASE-T(802.3i) 标准 ， 以 成 本 更 为 低廉 、 制 造 也 颇 为 
简单 的 双 绞 线 作为 传输 媒介 。 由 于 这 一 标准 实施 便捷 ， 很 快 便 普及 开 
来 。 在 该 标准 下 ， 以 太 网 拓扑 结构 也 从 之 前 使 用 同 轴线 缆 的 总 线 型 网 
络 ， 向 使 用 集线器 交换 机 的 新 型 网 络 过 渡 。 

1993 年 ， 委 员 会 制定 了 使 用 光纤 作为 传输 媒介 的 10BASE-F (802.3j) 
标准 。 在 这 之 前 ， 以 太 网 的 建 网 规模 最 大 也 不 过 履 盖 方圆 数 百 米 ， 但 是 
通过 10BASE-F 标准 ， 最 长 传输 距离 延长 至 2km。 


表 1-15 总 结 了 速率 为 10Mbits 的 以 太 网 的 发 展 历史 ， 表 1-16 总 结 了 主 
要 10Mbits 以 太 网 的 标准 。 


表 1-15 10Mbit/s 以 太 网 的 历史 











参考 了 施乐 公司 开发 的 Alto 计 算 机 、 打 印 机 等 设备 进行 
Alto Aloha Network 网 络 互 联 的 方案 。 传 输 速率 使 用 了 Alto 的 系统 时 钟 ， 能 
够 达到 2.94Mbit/s 





用 于 Alto 以 外 的 计算 机 网 络 互 联 。 以 设想 的 用 来 传播 电 
磁 波 的 物质 以 太 〈Ether) 3 来 命名 








Experimental 发 表 于 NCC (National Computer Conference ) 
Ethernet 








DIX 以 太 网 Ver.1.0 ”|1980 | 由 美国 DEC 公司 、Intel 公 司 、 施 乐 公 司 三 家 公司 制定 的 
年 ”| 标准 ， 采 用 粗 同 轴线 绕 传 输 。 传 输 速 率 为 10Mbit/s 


DIX 以 太 网 Ver.2.0 也 称 为 Ethernet II。 如 今 专 指 DIX 以 太 网 标准 





IEEE 由 IEEE 802 工 程 委 员 会 制定 的 标准 (与 DIX 以 太 网 Ver2.0 
802.3 (10BASES5) 几乎 完全 一 致 














IEEE 0 交 
B02 3 LOBASRY 昌 细 同 轴 线 绕 作为 传输 媒介 的 标准 











IEEE 
802.3i (10BASE- 日 双 绞 线 作为 传输 媒介 的 标准 
TT 




















IEEE 
802.3j (10BASE- 使 用 光缆 作为 传输 媒介 的 标准 
F) 























8 该 物质 最 终 被 证 明 不 存在 。 一 一 译 者 注 
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表 1-16 主要 的 10Mbitvs 以 太 网 的 标准 


定 传输 媒介 




















IEEE .| 曼 彻 | 粗 同 轴线 缆 (Thick Cable 也 叫 
做 Yellow Cable ) 


10Mbit/s 线 缆 (Thin Cable) 

















10BASE- |1990 |IEEE ,| 曼 彻 | yyy 
人 100 
T 年 ”|80z3i |10Mbits | 斯 特 | 双 绞 线 (UTP) 








10BASE- |1993 |IEEE 曼 彻 | yw 


快速 以 太 网 
1995 年 ， 传 输 速率 达到 100Mbits 的 快速 以 太 网 (Fast Ethernet) 完成 了 





标准 化 进程 ， 以 100BASE-T 的 吴 份 加 入 了 以 太 网 家 族 。 在 快速 以 太 网 
进入 市 场 后 ， 文 持 全 双 工 通信 的 交换 集线器 取代 了 效率 低下 的 半 双 工 通 
信 的 收发 集线器 ， 逐 步 成 为 主流 。 

在 快速 以 太 网 标准 中 使 用 5 类 UTP 线 缆 的 100BASE-TX 应 用 最 为 普 
遍 ， 目 前 ， 几 乎 所 有 个 人 计算 机 所 携带 的 网 卡 都 应 用 了 这 一 标准 。 


为 了 和 之 前 的 10BASE-T 兼容 ，IEEE 802.3u 标准 还 定义 了 相应 的 自 适 
应 技术 标准 。 自 适应 技术 按照 表 1-19 的 顺序 通过 UTP 线 缆 两 端的 硬件 
获取 信息 ， 这 些 信息 ,包括 该 网 络 是 使 用 10BASE-T 还 是 100BASE-T， 

全 双 工 还 是 半 双 工 通信 等 ， 以 此 决定 最 适合 该 网 络 的 通信 速率 来 连接 通 
信 。 

表 1-17 介绍 了 快速 以 太 网 的 历史 ， 表 1-18 总 结 了 主要 的 快速 以 太 网 的 
标准 。 


表 1-17 快速 以 太 网 的 历史 


制定 年 
ee 








ee 802.3u (100BASE- 1995 年 传输 速率 为 100Mbit/s 的 快速 以 太 网 与 自 适 应 技术 
的 标准 化 


表 1-18 主要 的 快速 以 太 网 的 标准 











100BASE-TX 100Mbit/s B5B/MLT-3 | UTP (2 对 5 类 ) 


4 
100BASE-T4 100Mbit/s ( 仅 半 | 8B6T/PAM-3 | UTP (4 对 3 类 
双 工 ) 
100BASE-FX 1995 年 IEEE 802.3u | 100Mbit/s 4B/5B NRZI 光缆 ( MMF ) 
2Km ( 全 双 工 ) 
类 


”条目 IEEE 标准 | 传输 速率 编码 传输 媒介 最 大 传输 距离 
100BASE-T 一 ， IEEE 802.3u | 100Mbit/s aa | 


400m ( 半 双 工作 











) 
100BASE-T2 |1998 年 ”| IEEE 802.3y | 100Mbit/s PAM5x5 UTP (2 对 3 类 ) 


注 1: 100BASE-T 是 100BASE-TX、100BASE-T4、100BASE-T2 的 统称 。 目 前 100BASE-T4、 
100BASE-T2 几乎 不 再 使 用 ， 主 要 使 用 的 是 100BASE-TX。 


表 1-19 快速 以 太 网 的 自 适应 优先 顺序 注 1 





以 太 网 通信 模式 


100BASE-T2 〈 全 双 工 ) 


100BASE-TX (全 双 工 ) 


100BASE-T2 ( 半 双 工 ) 


100BASE-T4 ( 半 双 工 ) 


100BASE-TX ( 半 双 工 》 


10BASE-T (全 双 工 ) 


10BASE-T 〈 半 双 工 ) 





注 1: 采用 连接 的 两 个 设备 中 最 高 优先 级 的 通信 模式 。 


干 兆 以 太 网 


千 兆 以 太 网 的 最 初 标准 制定 于 1998 年 。 其 中 ， 使 用 光纤 作为 传输 媒介 
的 1000BASE-SX 和 1000BASE-LX 标准 ， 与 使 用 双 线 的 1000BASE-T 
有 很 大 的 区 别 ( 表 1-21、 表 1-22) 。 


最 新 的 个 人 计算 机 已 经 安装 了 支持 10/100/1000BASE-T 千 兆 以 太 网 的 网 
卡 。 这 种 10/100/1000BASE-T 网 卡 是 指 能 够 自 适 应 10BASE-T、 
100BASE-TX 以 及 1000BASE-T 这 3 种 传输 速率 ， 并 且 能 够 自动 检测 出 
是 半 双 工 还 是 全 双 工 的 网 络 接口 设备 。 


千 兆 以 太 网 标准 是 最 后 一 个 使 用 CSMA/CD 技术 方式 进行 通信 的 标准 。 
由 于 CSMA/CD 所 使 用 的 半 双 工 通信 效率 低下 ， 后 续 的 标准 便 均 以 全 双 
工 方式 予以 替代 。 

千 兆 以 太 网 还 拥有 如 表 1-20 所 列 出 的 可 选 功 能 。 

表 1-20 千 兆 以 太 网 的 可 选 功能 











、| 在 和 干 兆 以 太 网 中 ， 被 称 为 512bit 时 间 的 CSMAVCD 冲 突 检 测 时 间 仅 有 极 短 的 512 纳 
波 | 秒 这 会 导致 硬件 在 侦 测 出 冲突 之 前 就 已 将 数据 全 部 发 出 ， 从 而 引起 网 络 事故 。 
~ | 因此 在 千 兆 以 太 网 标准 中 将 最 小 帧 的 长 度 扩展 到 了 512bit， 当 发 送 不 足 512bit 的 

数据 时 ， 自 动 将 其 扩展 到 512bit， 超 出 原 数 据 的 填充 (padding) 部 分 称 为 载波 扩 


展 〈Carrier Extension ) 






























































| 用 于 防范 在 发 送 大 量 小 数据 帧 时 带 来 的 传输 速率 低下 的 问题 。 首 先 对 第 1 个 数据 
xs | 帧 进行 载波 扩展 ， 而 随后 的 数据 帧 无 需 扩 展 ， 仅 将 短 帧 连续 发 送 。 最 大 能 够 一 次 
之 | 性 发 送 8192bit 大 小 的 数据 帧 











将 以 太 网 最 大 的 数据 帧 长 度 从 1518bit 扩 展 到 8 000~15 000bit， 从 而 提高 传输 效率 
9 。 但 巨型 帧 在 IEEE 802.3 系 列 中 没有 明确 详细 的 标准 ， 这 使 得 各 个 通信 设备 制 
二 本 
LU | 闪电 旦 帆 































































































“但 由 于 向 后 兼容 等 各 种 问题 的 存在 ， 目 前 ， 巨 型 帧 并 未 得 到 普及 。 





译 者 注 




















表 1-21 千 兆 以 太 网 的 历史 








IEEE 本 Wo , 
定义 了 使 用 光纤 作为 传输 媒介 、 速 率 为 1Gbits 的 干 
802.3z (1000BASE- 浪人 以太 网 标准 

















X) 


IEEE ES 人 
定义 了 使 用 双 绞 线 作 为 传输 媒介 、 速 率 为 1Gbit/s 的 
a (1000BASE- 千 兆 以 太 网 标准 




















表 1-22 主要 的 以 太 网 标准 


制定 | IEEE 标 | 传输 速 A 最 大 传 
注 1 
= 




















si MMEF (波长 850nm ) 
MMF (波长 
1000BASE- 1300nm ) 
LX 
Ee 4 1Gbit/s 8B10B/NRZ | SME (波长 1310nm) 
1000BASE- 四 70 
SMF 〈 波 长 1550nm) | .100l 





S 
Z 
人 1509 平 衡 屏蔽 双 绞 线 
1000BASE- | 1999 |IEEE 。 8B1Q4/4D- 4 所 站 
1 六 

6 类 ) 








年 
000BASE- |2001 |TIA/EIA-|,,,.. |8B1Q4/4D- 
1000BASE- |2004 |IEEE | SME《〈 下 行 1490nm， 

只 人 807 3ah |1Gbits |8B10B/NRZ | 上 行 1310nm ) 10km 








注 1: 目前 ，1000BASE-TX 已 经 不 再 使 用 。 





注 2: 同时 也 存在 被 称 为 1000BASE-LX/LH 或 1000BASE-LH 的 产品 (由 厂商 独自 扩展 ， 并 非 
IEEE 标准 ) 。 该 产品 使 用 了 2 蕊 光纤 ， 使 得 最 大 传输 距离 远 远大 于 1000BASE-LX 的 输出 ， 能 
够 延伸 至 10~40km。 























表 1-23 千 兆 以 太 网 的 自 适 应 优先 顺序 注 1 


以 太 网 通信 模式 





























注 1， 指 采用 连接 的 两 个 设备 所 支持 的 最 高 优先 级 通信 模式 。 
万 兆 以 太 网 
2002 年 ，IEEE 802 委员 会 制定 了 最 大 传输 速率 为 10Gbits 的 万 兆 以 太 

















网 标准 IEEE 802.3ae。 当 时 的 IEEE 802.3ae 标准 中 采用 光纤 为 传输 媒 
介 ， 最 大 传输 速率 为 10Gbit/s。 随 后 2006 年 又 制定 了 使 用 双 绞 线 的 
IEEE 802.3an 万 兆 以 太 网 标准 。 

万 兆 以 太 网 由 于 传输 速度 非常 快 ， 因 此 在 该 标准 中 很 难 继续 使 用 冲突 检 
测 机 制 ， 在 半 双 工 通信 时 也 不 再 使 用 原先 的 CSMA/CD 方式 了 。 上 所 以 也 
就 不 再 通过 集线器 ， 而 是 使 用 交换 机 建立 全 双 工 通信 和 链 路 。 

万 兆 以 太 网 不 再 仅仅 局 限 在 LAN 中 使 用 ，MAN 以 及 WAN 也 逐步 开始 
使 用 该 技术 。 数 据 链 路 层 的 MAC 子 层 也 和 以 往 的 以 太 网 相同 ， 帧 的 长 
度 是 从 64bit 到 1518bit， 没 有 任何 变化 。 

万 兆 以 太 网 的 物理 层 中 定义 了 两 部 分 内 容 ， 其 中 一 部 分 是 与 之 前 以 太 网 
兼容 的 LAN PHY 的 内 容 ， 另 一 部 分 则 是 在 作为 通信 基础 设施 供应 商 的 
上 骨干 网 使 用 的 SONET/SDH 标准 中 ， 与 OC-192 兼容 的 WAN PHY 的 内 
容 ( 表 1-25) 。 


表 1-24 万 兆 以 太 网 的 历史 


人 表 | 定 
标准 
IEEE 802.3ae (10GBASE- 传输 速率 为 10Gbit/s 的 10Gigabit Ethernet 的 标 
2002 年 |、 
X) 准 
IEEE 802.3an (10GBASE- 使 用 双 绞 线 作 为 传输 媒介 的 10Gbitvs 以 太 网 
x) OO 


表 1-25 主要 的 万 兆 以 太 网 标准 


二 





























10GBASE- |2002 |IEEE 0Gbit/s | 64B/66B MMF (LAN 300m 
SR 年 802.3ae PHY) 850nm 


10GBASE- |2002 |IEEE 


802.3ae 






10GBASE- |2002 |IEEE 


2006 
年 


IEEE 
802.3an 


10GBASE- 
工 





10Gbit/s 


LR 年 


10Gbit/s 


SMF (LAN 


BoB PHY) 1310nm 


10km 


SMF (LAN 
PHY) 1550nm 


MMF (WAN 
PHY) 


SMF (WAN 
PHY) 


SMF (WAN 
PHY) 
UTP/STP (6 类 ) 


64B/66B 


64B/66B 
WIS 注 工 





64B/66B 
WIS 


64B/66B 
WIS 





注 1: WIS， 广 域 网 接口 子 层 (WAN Interface Sublayer) 的 英文 首 字母 缩写 。 




















注 2: LDPC， 低 密度 奇 侦 








40G/100G 以 太 网 也 
10 400G 的 以 太 网 标准 工作 已 于 2013 年 











4 月 





校 验 码 (Low-Density Parity-Check) 的 英文 首 字 母 缩 写 。 





二 


正式 启动 。 一 一 译 者 注 








2010 年 6 月 ，40Gbit/s 和 100Gbits 的 以 太 网 标准 化 工作 完成 。 同 万 兆 


以 太 网 一 样 ， 该 标准 中 仪 支持 全 双 工 通 


何 改变 。 


表 1-26 40G/100G 以 太 网 历史 


a 
百 ， 


对 以 太 网 帧 的 格式 没有 做 任 





IEEE 802.3ba | 2010 年 





制定 了 传输 速率 为 40Gbit/s 与 100Gbit/s 的 新 一 代 以 太 网 标准 





表 127 主要 的 40G/100G 以 太 网 标准 





























40GBASE- -|IEEE 
g023ba |40Gbits |64B/66B 
100GBASE- -|IEEE 
CR10 802 3b。 |100Gbivs |64B/66B 
100GBASE- IEEE 
SR10 g02 3ba |100Gbivs |64B/66B 




















[a 








100GBASE- IEEE | 
802 3ba |100Gbivs |64B/66B 
100GBASE- IEEE : 
FE |807 3h。 |100Gbits |64B/66B 








01.03 ”以 太 网 标准 的 数据 处 理 


01.03.01 以太 网 上 的 数据 


以 太 网 上 传输 的 数据 在 数据 链 路 层 以 MAC 帧 《以 太 网 帧 格式 ) 的 形式 
存在 ， 最 终 会 被 转换 为 传输 媒介 UTP 线 缆 上 的 电气 信号 。 电 气 信号 转 








换 的 过 程 中 会 根据 不 同 的 标准 采用 不 同 的 编码 方式 〈 表 1-28) 。 
表 1-28 使 用 UTP 的 LAN 标准 数据 式样 


10BASE-T | 学 彻 斯 特 
100BASE-TX 下 | 4B5B 
100BASE-T | 4D-PAM5 

















注 1: Mbaud 是 106baud 〈 波 特 ) 。1 个 baud 表示 一 秒 内 信号 的 变化 次 数 。 在 1 个 脉冲 传输 1bit 
信号 时 ，1baud=1bit/s ; 当 1 个 脉冲 传输 2bit 信号 时 ，1baud=2bit/s。 


另外 ， 以 太 网 采用 小 端 〈little endian， 称 为 Canonical ) 顺序 方式 来 传 
输 比 特 流 ， 也 就 是 说 对 于 1 个 字 0 的 数据 ， 会 从 最 低位 

(LSB, Least Significant i 开始 传送 。 小 端 顺序 如 表 1-29 所 示 ， 将 
8bit 数据 中 的 0 与 工 顺 序 颠 倒 进行 传送 。FDDI 以 及 令 牌 环 等 网 络 ， 

则 采用 大 端 (big endian) 顺序 进行 传输 数据 。 


在 网 络 上 进行 传输 的 二 进 制 数据 所 使 用 的 字 市 排列 顺序 也 称 为 网 络 字 市 








序 。TCP/P 协议 中 包括 首部 在 内 均 使 用 大 端 顺序 即 从 最 高 位 (MSB， 
Most Significant Bit〉 开 始 传 送 数 据 。 


表 1-29 小 端 与 大 端的 比较 


标准 比特 IP 地 址 192.168.1.254 〈 采 用 二 进 制 表示 为 11000000 10101000 
顺序 00000001 11111110) 的 比特 序列 


























以 太 网 00000011 00010101 10000000 01111111 


FDDI、 大 端 |11000000 10101000 00000001 11111110 





01.03.02 10BASE-T 


在 10BASE-T 中 使 用 曼彻斯特 编码 (或 称 曼彻斯特 码 ) 的 方式 让 转换 的 
电气 信号 在 双 绞 线 上 传输 。 从 Preamble 字段 ! 中 得 到 20MHz 的 时 钟 频 
率 与 10Mbit/s 的 NRZY 数据 进行 逻辑 异 或 运算 ， 得 到 在 20MHz 下 采用 
-V、0、+V 三 个 电 平 数值 发 送信 号 (V 表示 电压 ) 。 该 运算 过 程 如 图 1- 
5 所 示 ,， “0” 表 示 “10”，“1” 表 示 “01”。 通 过 曼彻斯特 编码 后 ， 直 流 信号 
部 分 将 不 复 存 在 ， 从 而 抑制 了 信号 衰减 带 来 的 干扰 。 


| 41 Preamble 字段 是 以 太 帧 的 首 个 字段 ， 在 Pre 字段 中 0 与 1 交 蔡 使 用 。DIX 以 大 网 标准 采用 8 
位 数据 ，IEEE 802.3 采用 7 位 数据 表示 。 参 考 图 1-3。 



































12 NRZ 表示 Non-Return-to-Zero， 即 不 归 零 码 ， 是 一 种 不 依赖 使 用 1 表示 高 电 平 、0 表示 低 电 
| 平 的 时 序 ij 码 。 

















另外， 在 以 太 网 帧 格式 之 间 会 定期 发 送 Link Test Pulse 信和 号。 
20MHz 
汪 


( 从 Preamble 中 获取 ) 


10MHz(10Mbps) 
一 | 


sai 


1 0 | 1 0|0|1 1 中 慌 


曼彻斯特 编码 一 | ] 加 HHHEHHH 


图 1-5 10BASE-T 曼彻斯特 编码 


在 10BASE-T 中 ， 使 用 4 对 双 绞 线 中 的 1 对 (1 号 与 2 号 ) 信号 线 作为 
10Mbit/s 信和 号 A 
的 接收 ， 剩 余 两 组 空 亲 不用。 








使 用 3 类 ( 最 大 带宽 为 16MHz ) 
UTP 线 费 





不 使 用 这 里 绞 在 一 起 的 两 个 对 线 


图 1-6 10BASE-T 的 数据 发 送 


2 指 网 络 控制 器 ， 有 具体 内容 请 参考 第 2 章 。 





01.03.03 100BASE-TX 


在 100BASE-TX 的 标准 中 不 再 使 用 曼彻斯特 编码 ， 而 是 使 用 了 一 种 叫 
做 MLT-3 (Multi-Level Transition ) 的 编码 方式 。 该 编码 方式 使 用 -V、 
0、+V 三 个 数值 ， 当 下 一 个 数据 为 0 时， 保持 信号 电 平 不 变 ; 当下 一 个 
数据 为 1 时 ， 信 号 电 平 跳 转 。 这 样 使 信号 电压 变化 平稳 ， 能 够 减少 信和 号 
传递 中 的 谐 波 数量 。 


aoa 





图 1-7 100BASE-TX 的 MLT-3 编码 


在 使 用 MLT-3 编码 时 ， 数 据 如 果 连 续 为 0， 信 号 电 平 将 不 会 发 生 任 何 变 
化 ， 这 将 导致 接收 方 无 法 检测 出 每 一 个 时 钟 频 率 。 为 了 避免 这 一 问题 ， 





标准 中 采取 了 将 4bit 数据 转换 为 5bit 的 方法 ( 表 1-30) 。 这 样 一 来 ， 既 
能 保证 在 发 送 的 5bit 数据 中 有 两 个 以 上 的 “1”， 也 能 够 在 数据 连续 
为 “0" 时 ， 找 得 到 同步 的 位 置 。 另 外 ， 还 能 加 入 特殊 的 控制 码 。 


表 1-30 4B5B 转换 表 


= 制 | 的 “0” 








六 进 制 的 “1” 


= 制 | 的 “2” 





六 进 制 的 “3” 





i 制 | 的 “A” 














十 六 进 


十 六 日 的 -了 
十 六 各 出 的 

Quiet (信号 减弱 ) 

Idle (无 信号 时 发 送 ) 
Start (1) (分 组 开始 ) 


11010 井 制 的 “C>” 





End (分 组 结束 ) 





由 于 将 原来 4bit 的 数据 以 5bit 的 方式 发 送 ， 就 使 得 发 送 速率 为 
100Mbit/s 的 数据 实际 需要 发 送 速率 为 125Mbits 的 电 平 信号 。4B5B 编 
码 在 速率 为 100Mbit/s 的 FDDI 中 也 会 使 用 ， 但 光纤 传播 使 用 光 的 明暗 





来 友 送 数据 ， 因 此 不 再 使 用 需要 用 3 个 数值 传输 信和 号 


的 MLT-3， 而 是 使 


用 只 需 两 个 值 的 NRZI4 进行 编码 。 在 NRZI 中 一 个 周期 可 以 发 送 2bit 
的 数据 ， 因 此 只 需要 原来 比特 率 的 二 分 之 一 周期 ， 即 可 发 送 1bit 的 数 
据 。 所 以 125Mbits 的 电 平 信号 只 需 62.5MHz 带宽 即 可 。 当 使 用 MLT-3 





时 ， 一 个 周期 内 可 以 发 送 4bit 的 数据 ， 即 只 要 使 用 原来 比特 率 一 分 之 

的 带宽 31.25MHz， 就 能 完成 数据 的 发 送 。 这 样 的 话 ， 尺 管 5 类 UTP 线 
缆 最 多 可 以 只 4 使 用 100MHz 的 电 平 信号 ， 但 是 通过 使 用 MLT-3 并 采用 
了 4B5B 编码 转换 后 ， 也 就 没有 什么 问题 了 。 


14 NRZI 是 Non-Return-to-Zero Inverted 编码 的 缩写 。 如 图 1-8 所 示 ， 当 下 一 个 电 平 信号 为 1 时 
进行 信号 反 转 ， 为 0 时 则 保持 不 变 。 











为 了 实现 100BASE-TX 上 自 适 应 功能 ， 在 两 台 机 器 网 卡 之 间 进 行 物理 连 
线 后 ， 相 互 连 接 的 设备 会 发 送 一 个 名 为 Fast Link Pulse 的 脉冲 信号 ， 通 
过 该 脉冲 信号 检测 出 双方 的 通信 速率 和 各 自 支 持 的 通信 模式 与 ， De 
该 信息 自动 选择 合适 的 运行 模式 。 


在 连续 0 或 1 这 样 连续 、 平 稳 的 电 平 信号 大 
中 很 难 获取 其 中 包含 的 时 钟 频率 0 表示 低 电 平 ，1 表 示 高 电 平 
0 1 个 波段 ( 1 个 周期 ) 可 以 包含 2bit 的 信息 


111100001010 


1 个 波段 ( 1 个 周 可 以 包 念 2bit 的 信息 NRZI 
人 波段 ( 1 个 周期 ) 可 以 包含 2bit 的 信 0 表示 不 变 ，1 表 示 反 转 
| 
0 KC 在 连续 0 的 电 平 信号 中 很 难 获取 
| ~ 其 中 包含 的 时 钟 频率 


LTOOOOTOQONY 


1 个 波段 ( 1 个 周期 ) 可 以 包含 4bit 的 信息 


0 MLT-3 
NRZI 使 用 3 个 数值 传输 
111100001010 


图 1-8 ”NRZI 编码 


使 用 5 类 UTP ( 最 大 带宽 为 100MHz ) 线 缆 





不 使 用 这 两 对 绞 线 


图 1-9 100BASE-TX 的 数据 传输 


01.03.04 1000BASE-T/1000BASE-TX 


在 1000BASE-T 中 使 用 了 8B1Q4 (8 binary to 1 quinary 4, 将 8 个 2 值 
数据 转换 成 5 值 4 组 数据 ) 的 编码 方式 与 4D-PAM5 (4-dimensional，5- 
level Pulse Amplitude Modulation， 将 从 8B1Q4 数据 编码 接收 到 的 4 维 五 
进 制 符号 用 五 个 电压 级 别传 送出 去 ) 的 调制 方式 传输 数据 (如 图 1-10 
表示 ) 。8B1Q4 按照 每 组 8bit 对 传输 数据 进行 分 割 ， 每 组 再 加 上 1bit 
的 元 余 位 作为 错误 校 验 ， 一 共 为 9bit 数据 。 在 9bit 的 数据 中 ， 根 据 宛 余 
bit 和 前 两 个 bit 数据 选择 转换 表 ， 再 根据 转换 表 得 到 余下 6bit 所 对 应 的 
4 个 信号 值 。 信 号 值 可 以 是 -2、-1、0、+1、+2 这 5 个 值 中 的 任意 一 
个 。 例 如 ，10010111 这 个 8bit 的 数据 ， 按 照 8B1Q4 转换 为 +1、-2、 
0、-1 这 4 个 信号 值 后 ， 就 可 以 同时 在 双 绞 线 上 进行 传输 。 将 这 一 系列 
的 数据 调制 发 送 就 被 称 为 4D-PAM5 方式 ， 因 为 要 使 用 1Gbit/s 速率 发 送 
数据 ， 所 以 每 个 脉冲 的 间隔 为 125MHz (1 个 脉冲 时 间 为 8 纳 秒 ) 。 两 
个 脉冲 为 1 次 谐 波 ， 因 此 可 以 使 用 带宽 在 62.5MHz 之 上 的 UTP 线 统 来 
完成 信号 的 传输 。 











中 按照 每 组 8bit 对 数据 进行 分 割 2 进行 8B1Q4 编 码 
Bbit 8bit 9bit gpit 


REEEEEE EECISEEEEEEEEEEEEEEC 一 一 一 一 
lolollol ololrlol hlol lebloellollollllolololollollo 


-1 添加 用 于 错误 校 验 的 宛 余 位 ， G@-2 兄 余 位 同 第 6bit、7bit 组 合用 于 
每 组 变 为 9bit 


LSB MSB 
01234567 宛 余 位 


FT 加 + 吕 


※LSB ( Least Significant Bit ) ， 最 低位 bit 
MSB ( Most Significant Bit ) ， 最 高 位 bit 


Ci-3 将 第 0~5bit 的 数据 放 入 选择 好 
的 转换 表 检 索 对 应 信号 值 





6bit 转 换 表 人 将 [+2、+1、0、-1、-2] 各 个 

( 64 个 模式 ) 信号 值 转换 为 [+1V、+0.5V、 
0OV、-0.5V、-1VI 的 电 平 信号 ， j 

使 用 4 对 双 绞 线 同时 发 送 













110100 +1,+2,0,—1 


实际 的 8B1Q4 转换 表 ( 节选 ) 


rm | -ao | mm | ar | a | 
oo | wam | oamm | owmo | oon | 


附 图 :1000BASE-T 网 卡 的 功能 分 区 图 


8b 表 示 8bit 数 据 
9b 表 示 9bit 数 据 





图 1-10 1000BASAE-T 的 编码 


01.03.05 1000BASE-SX/LX 
1000BASE-SX 与 1000BASE-LX 采用 了 8B10B 的 编码 方式 。 


8B10B 编码 方式 将 发 送 数据 按 每 组 8bit 进行 分 割 ， 并 将 每 组 8bit 的 数据 
重新 转换 成 10bit 进行 传输 。 这 么 一 来 ， 不 仅 可 以 发 送 额 外 数据 信息 ， 

而 且 无 论 是 什么 样 的 数据 ， 最 多 也 只 会 出 现 5 个 连续 的 “0” 或 者 “1”。 
此 在 节省 带宽 的 20% 的 前 提 下 ， 也 可 以 将 数据 与 时 钟 频率 同时 通信 。 


1000BASE-SX/LX 
1 按照 每 组 8bit 对 数据 进行 分 割 
8bit 8bit 





2) 进行 8B/10B 编 码 
10bit 10bit 





3) 使 用 采样 频率 为 1,.25GHz ( 1G*10/8 ) 进行 发 光 为 “0”、 熄 灭 为 “1” 的 光 信 号 转换 ， 随 后 
通过 光纤 进行 传输 。 

8B10B 变 换 表 的 一 部 分 

ET ET 


000 00001 | 0111010100 | 100010 1011 
000 00010 | 1011010100 | 010010 1011 
000 00011 | 1100011011 | 1100010100 


D31.7 111 11111 101011 0001 010100 1110 


给 每 组 的 8bit 数据 定义 Current RD 一 ( 负 ) 与 Current RD+ ( 正 ) 的 10bit 转换 值 ， 并 采 
用 正 负 交替 进行 传输 。 这 次 发 送 的 是 某 个 RD (Running Disparity ) 信 号 ， 下 次 就 发 送 
相反 的 RD 信号 。RD 在 开启 电源 后 的 初始 值 为 负 。 





图 1-11 1000BASE-SX/LX 的 编码 


使 用 增强 型 5 类 UTP ( 其 中 4 对 进行 发 送 与 接收 ) 线 缆 


125MHz 
发 送 2 ybrid > 
信号 /Or S Se Pe PE - > 
详 收 EISeY 一 上 .有 -eceees 
信号 





使 用 0、+V、+2V、 
-V、-2V 传 输 





2 
3 
4 
5 3 全 全 全 全 < 
6 
7 
8 






Hybrid 回 路 的 功能 : 将 1 对 双 绞 线 上 的 。” 居 EA 对 又 线 部 使 用 的 
发 送信 号 与 接收 信号 分 流 全 双 工 通 信 


图 1-12 1000BASE-T 的 数据 传输 
在 传输 速率 为 1000Mbit 秒 的 1000BASE-T 中 ，1 对 信号 线 能 够 以 





2 ee 并 且 可 以 4 对 信号 线 同时 进行 
双 工 通信 。 


收发 送信 号 ( 250Mbit/ 秒 ) 


> > > < <> > 一 -人 一 多 


收发 送信 号 ( 250Mbit/ 秒 ) 


一 人 

ro—= 
>OOIOOIOTITE 

所 一 

es 

SSOSECSESESe 二 

一 

= 








收发 送信 号 ( 250Mbit/ 秒 ) 


图 1-13 1000BASE-T 的 发 送 接收 方式 


在 传输 速率 为 1000Mbit 秒 的 1000BASE-TX 中 ，1 对 信和 号 线 能 够 以 
500Mbit/ 秒 的 速率 进行 数据 通信 ，4 对 信号 线 中 ， 两 对 发 送信 号 ， 两 对 
接收 信号 。1000BASE-TX 旨 在 降低 1000BASE-T 的 实现 成 本 ， 又 以 





EIA/TIA-854 的 形式 进行 了 标准 化 ， 但 是 与 1000BASE-T 的 普及 相 比 ， 
1000BASE-TX 对 应 的 设备 很 少 ， 目 前 几乎 已 经 停 用 。 因 此 需要 注意 的 
一 点 是 ，1000BASE-TX 与 1000BASE-T 无 法 兼容 。 


















发 送信 号 ( 500Mbit/ 秒 ) 


FF 


发 送信 号 ( 500Mbit/ 秒 ) 


DSOOCSOEOOOOTE 下 
接收 信号 ( 500Mbit/ 秒 ) 
SOOEOEOEEOTEISE 


接收 信号 ( 500Mbit/ 秒 ) 





图 1-14 1000BASE-TX 的 发 送 接 收 方式 


01.04 ”网 络 设备 的 构成 要 素 











01.04.01 通用 服务 器 与 专用 设备 
网 络 人 硬件 大 致 分 为 通用 服务 器 和 专用 设备 两 大 类 。 
表 1-31 网 络 硬件 的 种 类 


运行 Windows、Windows Server、Linux、Unix 等 操作 系统 的 通用 服务 器 及 
该 服务 器 上 安装 的 网 络 服 务 



































、 硬 件 组 成 的 专用 设备 




















表 1-32 比较 通用 服务 器 与 专用 设备 


e 价格 便宜 e 与 专用 硬件 相 比 ， 性 价 比 低 
e 性 能 高 e 需要 习惯 其 设置 及 管理 
e 设置 简单 ， 版 本 升级 容 e 根据 操作 系统 的 不 同 ， 可 能 会 出 现 没 有 对 应 软 
e 便于 使 用 和 管理 件 的 情况 
e 安全 湄 洞 较 少 e 操作 系统 不 同 ， 系 统 漏洞 也 较 多 






























































通用 服务 器 的 优点 专用 设备 的 缺点 


日 免费 的 操作 系统 可 以 降低 |e 无 法 自 定 义 
e 修复 安全 漏洞 以 及 BUG 的 方法 根据 厂商 的 不 同 
易 得 到 系统 漏洞 以 及 BUG | 而 不 同 





e 功能 扩展 有 所 限制 



































01.04.02 分门别类 的 网 络 设备 
网 络 设备 的 分 类 如 表 1-33 所 示 。 


表 1-33 网 络 设备 的 分 类 


ET LAN EF AP、 无 线 LAN 控制 器 
年 5 训 
“URL 过 六 器件 
。 防 病毒 网 关 第 5 章 04 节 
负载 均衡 器 第 4 章 01 节 
服务 器 设备 | 
| "WM | 
| “文人 服 58 许 | 一 
| OHCP DNS 有 BW 名 | | 


设备 〈appliance) 是 电气 化 产品 的 意思 。 


网 络 设备 和 个 人 计算 机 的 部 件 构成 非常 相似 。 要 说 与 个 人 计算 机 最 大 的 
不 同 ， 那 就 是 网 络 设 备 没 有 对 应 的 键 禹 、 显 示 器 等 输入 输出 装置 。 但 是 
es 网 口 等 和 个 人 计算 机 设备 相连 ， 从 而 完成 配置 
管理 等 操作 。 














01.04.03 CPU 


CPU (Central Processing Unit， 中 央 处 理 器 ) 是 构成 PC 等 计算 机 的 主 

要 部 件 ， 它 通过 读 取 内 存 中 的 程序 来 控制 软件 的 执行 ， 并 对 数据 进行 运 
算 。 解 析 程序 指令 也 称 为 解码 (decode) ， 解 析 指令 完毕 后 ， 就 可 以 从 
内 存 中 读 取 数据 或 者 通过 外 围 设备 完成 输入 输出 了 。 


根据 一 条 指令 能 够 处 理 的 最 大 数据 量 ， 可 以 分 为 16bit CPU、32bitCPU 
和 64bitCPU， 数 值 越 大 说 明 CPU 的 性 能 越 高 。CPU 使 用 赫兹 (Hz) 来 
表示 时 钟 频率 ， 即 在 1 秒 内 能 够 执行 多 少 条 指令 。 比 如 说 3GHz 就 表示 
在 1 秒 钟 内 CPU 可 以 执行 3*109 次 运算 。 当 同一 时 钟 周 期 内 处 理 的 数 
据 量 相同 时 ， 时 钟 频率 越 高 ，CPU 性 能 越 好 。 





将 两 个 处 理 器 核心 封装 在 一 块 集成 电路 上 称 为 双核 处 理 器 ， 类 似 地 ， 也 
有 将 4 个 核心 封装 在 一 块 CPU 中 的 。CPU 的 核 数 越 多 ， 性 能 也 越 高 。 
这 类 系统 称 为 多 核 系统 ， 能 在 1 个 CPU 上 同时 执行 多 个 线程 (处 

理 ) 。 在 能 够 高 速 进行 第 7 层 处 理 、 加 密 解 密 处 理 网 络 设备 中 ， 也 可 以 
0 


拥有 多 块 CPU 的 计算 机 或 硬件 称 为 多 处 理 系 统 。 在 生产 CPU 的 公司 
中 ， 较 为 著名 的 是 Intel 公司 和 AMD 公司 。 


将 所 有 构成 CPU 的 半导体 部 件 集中 在 一 块 忌 片 上 的 处 理 器 称 为 
MPU (Micro-Processing Unit， 微 处 理 器 ) ， 也 有 人 用 MPU 来 表示 
CPU。 


01.04.04 存储 设备 


在 计算 机 内 用 来 存储 数据 或 程序 的 装置 是 存储 设备 〈storage unit) 。 该 
类 设备 分 成 高 速 且 高 价 的 主 存储 器 与 低速 且 低 价 的 辅助 存储 器 〈 外 部 存 
储 器 ) 两 类 。 主 存储 器 分 成 可 读 写 的 RAM 以 及 只 读 的 ROM， 二 者 均 
使 用 半导体 元 件 实现 。 


辅助 存储 器 有 硬盘 和 闪存 等 。 


在 网 络 硬件 中 ， 曙 面 类 型 的 交换 机 或 路 由 器 往往 使 用 内 存 来 局 动 程序 
(应 用 程序 ) ， 随 后 从 硬盘 《〈 即 闪存 ) 上 该 取 必 要 的 数据 。 在 程序 中 处 
理 的 数据 又 存储 至 比 硬 盘 速 度 更 快 的 读 写 主 存 中 。 为 了 使 主 存储 器 进行 
对 应 的 数据 运算 ， 还 需要 将 数据 传送 全 CPU 处 。 


这 时 ， 即 使 采用 了 DRAM 高 速 主 存 ， 其 对 数据 的 读 写 速度 〈 访 问 速 
度 ) 也 远 远 落后 于 CPU， 而 受到 存储 髓 性 能 牵连 的 CPU 也 无 法 发 挥 出 
原本 的 速度 。 因 此 就 需要 用 速度 更 快 但 容量 更 小 的 Cache 存储 ， 这 种 存 
储 将 需要 CPU 频繁 处 理 的 数据 以 更 快 的 速度 传送 至 CPU， 从 而 大 大 提 
高 了 程序 的 处 理 速度 。 


01.04.05 “存储 器 


存储 器 根据 用 途 分 为 了 不 同 的 种 类 。RAM 或 ROM 一 般 作 为 主 存储 设 
备 ， 用 来 存放 需要 执行 或 处 理 的 程序 及 数据 。NVRAM 和 闪存 则 作为 辅 








助 存储 设备 存放 操作 系统 或 配置 文件 〈 表 1-34) 。 


表 
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1-34 存储 器 的 种 类 


存储 器 的 种 类 


随机 存 取 存储 器 。 
表 所 需要 的 信息 





RAM (Random 









































在 计算 机 内 部 用 于 保存 处 理 运行 中 的 设置 和 路 由 








当 关 闭 电源 或 重新 局 动 后 ， 将 清空 所 有 数据 。 








0 般 使 用 动态 随机 存储 器 《DRAM) 和 同步 动态 随机 存储 器 


Memory) 





Bootstrap 


Only Memory) 硬件 的 程序 


NVRAM (Non | 由 于 拥有 非 易 失 性 





(SDRAM) 实现 


、POST 注 2 























ROM (Read 人 般 用 来 存放 





ROM 监 控 、RXBOOT 等 启动 和 维护 网 络 


























volatile RAM) | ， 因 此 一 般 用 于 保存 设置 文件 





， 即 使 关闭 电源 或 重新 启动 时 数据 也 不 会 丢失 


具有 电 可 擦 可 编程 特性 的 只 读 存 储 占 ， 用 来 保存 操作 系统 以 及 设置 

















用 


该 存储 句 一 般 教 材 鲜 有 涉及 ， 它 有 ROM 的 断 电 不 于 数据 的 特性 ， 











访问 的 特性 。 一 一 译 者 注 


注 1，Boot 是 指 计算 机 在 接 通电 源 后 进入 可 操作 状态 之 前 自动 执行 的 

















序 统称 为 Boot (Bootstrap ) Code。 

















也 有 普通 RAM 随机 寻 址 














一 系列 处 理 ， 这 些 处 理 程 






































-> 





注 2: Power On Self Test 的 缩写 ， 是 指 电源 接 通 后 ， 计 算 机 进行 自我 诊断 的 过 程 。 在 Boot 之 前 














检查 ROM 内 的 BootCode， 检 查 闪 存 中 

















宁 存 的 操作 系统 ， 还 有 检查 外 围 接口 以 及 ASIC 访问 





等 。 当 POST 执行 失败 时 ， 硬 件 的 LED 灯会 闪烁 给 出 错误 提示 。 这 说 


二 
TH 


表 








要 更 换 新 的 硬件 。 





1-35 ”RAM 的 种 类 

















明 部 件 或 数据 可 能 损坏 ， 





DRAM (Dynamic 
RAM) 


SDRAM (Synchronous 
DRAM) 


SRAM (Static RAM) 


动态 随机 存储 器 。 


的 0O 和 1， 并 以 此 为 原理 进行 数据 保存 的 RAM。 电 容 保 存世 




















一 种 通过 电容 中 是 否 有 电荷 来 表示 二 进 制 


















































的 
电荷 经 过 一 定时 间 后 会 自动 放电 ， 保 存 的 信息 就 会 丢失 。 因 
此 需要 定期 刷新 存储 单元 ， 通 过 再 次 写 入 使 其 保持 原来 的 内 





















































容 。 由 于 必须 要 进行 刷新 ， 因 此 被 称 为 “动态 的 〈dynamic ) 
RAM”。 与 SRAM 相 比 ， 电 路 较为 简单 ， 集 成 度 高 ， 价 格 也 


较为 低廉 

















同步 动态 随机 人 存储器。 使 用 外 部 总 线 接 口 ， 在 一 定 周期 内 同 





步 时 钟 信号 来 运行 


的 改进 版 DRAM。 按 133~533MHz 的 外 部 





总 线 时 钟 频率 进行 


SDRAM 





静态 随机 存储 器 。 


路 ， 能 够 无 需 刷 新 操作 就 保存 数据 。 由 于 不 需要 刷新 操作 ， 
因此 被 称 为 静态 (static) RAM。 虽 然 速 度 很 快 ， 但 由 于 电 











同步 运行 。 目 前 使 用 的 DRAM 几 乎 都 是 











SRAM 使 用 了 由 三 极 管 构成 的 触发 右 电 



































路 很 复杂 ， 集 成 困难 ， 所 以 价格 昂贵 





闪存 中 包含 了 EEPROM、Compact Flash 和 USB 存储 等 〈 表 1-36) 。 


表 1-36 闪存 的 种 类 





EEPROM 
是 无 需 电 
源 束 能 保 
存 写 入 数 
据 的 非 易 
失 性 存储 
和 一 要 
可 以 通过 
输入 电压 
删除 或 更 
改 数据 。 
Flash 
EEPROM 
是 





图 片 


Flash EEPROM 
EEPROM ( 电 | 的 改进 
可 探 写 可 编 “| 版 ， 提 供 
程 ) 了 更 高 速 
的 访问 速 
度 和 更 大 
的 存储 容 
量 。 
EEPROM 
以 1 个 字 
节 为 单位 
更 改 数 
据 ， 而 
Flash 
EEPROM 
则 是 以 数 
据 块 为 单 
位 删除 或 
更 改 数据 


由 
Sandisk 


sa EXtreme pro 
部 使 用 了 CompactFlash’ 


EEPROM 100 MB/S， 
oe UDMA 7 


ANSI 标 

准 的 ATA A 

人 ass 
Compact Flash 


器 。 
Card (CF | 由 于 向 部 
卡 ) 还 兼容 部 
分 PC 
Card 标 | Typel 42.8x36.4x3.3mm 
准 ， 因 此 | Typell 42.8x36.4x5mm 

















可 以 使 用 | 到 2012 年 为 止 ， 市 面 上 可 买 到 容量 为 128MB~128GB 的 产品 
PC Card 

适配器 将 

CE 卡 的 

50pin 接 

口 转化 为 

PC Card 


68pin， 

以 插入 
PC Card 
插 槽 使 用 


= 和 
BUFFALD 四 


USB 存 储 器 


(Universal 
Serial Bus 存 


储 器 ) 辅助 存储 
设备 时 ， | 到 2012 年 为 止 ， 市 场 主流 的 产品 为 4GB~32GB，256GB 的 产品 也 可 以 
b | 买 到 。 


局 5 日 了 六 











存储 蕊 厂 





01.04.06 HDD/SSD 


在 个 人 计算 机 中 ， 硬 盘 也 经 常 作为 辅助 存储 设备 来 使 用 ， 一 般 被 称 为 
HDD (Hard Disk Drive， 硬 盘 驱 动 器 ) (图 1-15) 。 硬 盘 通过 驱使 多 块 
涂 满 磁性 介质 的 金属 〈 或 者 玻璃 ) 盘 片 (platter) 高 速 旋转 、 移 动 磁 
人 


在 网 络 设备 中 ， 多 个 不 同 版 本 的 操作 系统 、 与 系统 和 流量 相关 的 日 志 信 
上 县、 扫描 内 容 时 使 用 的 签名 信息 《数据库 ) 、 流 量 缓存 等 一 般 被 保存 在 
安装 于 网 络 设备 内 部 的 HDD/SSD 中 。 


一 般 而 言 ， 个 人 计算 机 或 服务 器 硬件 重 发 生 了 HDD 故障， 可 以 将 HDD 
单独 取 下 葵 换 ， 但 是 在 网 络 设备 中 很 可 能 需要 将 换 整 个 硬件 。 由 于 
HDD 中 和 常 间 存放 了 IP 地 址 等 保密 数据 ， 因 此 在 蔡 换 人 硬件 时 ， 可 以 委托 
厂商 删除 数据 ， 并 要 求 厂商 开具 人 硬盘 已 破坏 的 证 明 书 。 





驱动 器 
( actuators， 决 定 存 储 位 置 的 装置 ) 







主轴 马达 





~ 


震动 ( Swing ) I 


外 部 接口 


图 1-15 硬盘 驱动 器 


有 些 网 络 配件 也 会 用 SSD 取代 HDD 作为 数据 存储 的 设备 。SSD 是 
Solid State Drive 的 缩写 ， 也 可 以 叫做 Flash SSD 或 Flash Memory 
Drive， 使 用 和 HDD 一 样 的 IDE、ATA 外 部 接口 。 


与 HDD 相 比 ，SSD 有 以 下 优点 。 


随机 访问 时 数据 读 取 速 度 快 
。 省 电 、 发 热量 小 
。 抗 外 部 冲击 力 强 


。 单位 容量 价格 高 


。 记忆 单元 有 读 写 次 数 的 上 限 





图 116 SSD 


01.04.07 硬件 芯 


用 于 特殊 处 理 的 高 速 集成 电路 主要 有 ASIC 和 FPGA。 与 CPU 处 理 被 称 
为 软件 处 理 相 对 应 ，ASIC 和 FPGA 的 处 理 被 称 为 硬件 处 理 (图 1- 
17) 。 


可 以 自由 组 合 命令 
CPU 从 内 存 中 读 取 命 令 时 执行 各 种 各 样 的 处 理 





需要 通过 的 总 线 往往 存在 任务 

瓶颈 ， 处 理 数据 非常 耗 次 

时 间 。 

程序 可 以 非常 简单 地 在 通 重复 大 量 的 命令 读 取 、 

用 机 器 上 生成 和 修改 。 | | 翻译 、 执 行 和 输出 操作 

处 理 前 的 数据 一 一 处 理 后 的 数据 

只 | 特定 处 理 的 
无 需 经 过 内 存 总 线 ， 可 以 在 ASIC 改 片 二 有 i 
凡 昌 二 二 处 再- 


处 理 前 的 数据 EN pT WR | 


图 1-17 软件 处 理 与 硬件 处 理 的 不 同 
ASIC 


ASIC (Application Specific Integrated Circuit， 专 用 集成 电路 ) 指 用 于 特 
定 目的 的 IC 芯片 ， 是 能 够 高 速 进行 以 太 网 帧 格式 的 传送 处 理 、 路 由 处 
理 、 防 火 墙 处 理 等 特殊 处 理 的 集成 电路 。 


与 CPU 相同 ，ASIC 也 是 LSI (Large Scale Integration， 大 规模 集成 电 
路 ) 的 一 种 。 但 与 CPU 逐条 执行 命令 相 比 ，ASIC 的 设计 则 是 仅 用 于 高 
速 进 行 必要 的 处 理 。 


ASIC 由 于 心 片 单价 便宜 ， 因 此 在 大 规模 生产 时 成 本 很 低 ， 同 时 具有 高 
速 、 高 集成 度 、 最 合理 的 电力 使 用 等 优点 。 但 兄 一 方面 ， 开 发 成 本 高 、 
人 期 长 、 无 法 及 时 应 对 设计 失误 或 式样 变化 等 也 是 其 不 可 忽视 的 缺 








FPGA 


和 ASIC 一 样 ， 用 于 特定 目的 的 高 速 运行 集成 电路 ， 但 与 ASIC 不 同 的 
地 方 在 于 它 的 可 编程 性 。FPGA 现场 可 编程 1 ] 际 列 》 使 用 了 一 种 被 称 
为 HDL (Hardware Language， 硬 件 描 述 语言 ) 的 编程 语言 
来 描述 电路 和 系统 的 运 











与 ASIC 相 比 ，FPGA 因为 其 可 编程 性 而 具有 开发 风险 小 、 开 发 周期 短 
和 开发 成 本 低 等 优点 。 虽 然 FPGA 也 有 单价 高 、 性 能 差 、 功 耗 高 的 缺 
点 ， 但 是 目前 这 些 方面 已 经 有 所 改善 ， 所 以 在 网 络 设 备 中 新 开发 的 硬件 
蕊 片 几 乎 都 使 用 了 FPGA。 


网 络 处 理 吕 


网 络 处 理 器 是 使 用 LSI 技术 将 CPU 和 分 组 处 理 硬 件 集成 于 一 处 ， 用 于 
网 络 相 关 处 理 的 专用 处 理 器 (图 1-18) ， 也 可 以 用 NP 或 者 
NPU (Network Processing Unit) 来 表示 。 





控制 平面 转发 平面 
分 组 处 理 引擎 集群 


. 


连接 DRAM  ; 连接 PHY ! 
UART: Universal Asynchronous Receiver Transmitter 


PCl: Peripheral Component Interconnect 
DRAM: Dynamic Random Access Memory 
PHY: Physical Layer Controller 

MAC: Media Access Control 





图 1-18 网 络 处 理 器 的 结构 图 


在 ASIC 中 无 法 根据 需求 灵活 更 改 处 理 的 内 容 ， 但 在 网 络 处 理 器 中 却 可 
以 进行 编程 。 分 组 首部 的 解析 、 路 径 决 定 表 的 检索 、QoS 控制 、 加 密 解 
密 等 内 容 单一 但 负载 较 大 的 处 理由 引擎 硬件 〈 分 组 处 理 引 擎 、 协 议 引 
擎 、 微 引擎 等 ) 负责 。 而 对 于 硬件 无 法 处 理 的 复杂 情况 ， 则 将 其 交 给 网 
络 处 理 嚣 内 部 的 CPU 完成 。 











图 1-19 EZchip 公司 的 网 络 处 理 嚣 
01.04.08 ”接口 


设备 一 般 有 两 种 接口 ， 一 种 是 用 于 管理 设置 的 控制 端口 ， 另 一 种 是 用 于 
传输 用 户 数据 流量 的 数据 端口 《多 个 ) 。 


图 1-20 展示 了 台式 计算 机 上 搭载 的 以 太 网 接口 卡 ， 也 称 为 网 络 适 配 

器 、LAN 卡 或 者 网 络 接口 卡 (NIC，Network Interface Card) 。 尽 管 母 
板 及 配 线 有 所 不 同 ， 但 网 络 人 硬件 所 使 用 的 以 太 网 端口 ， 基 本 上 也 由 类 似 
的 部 件 组 合 而 成 。 图 1-20 GO 所 表示 的 控制 芯片 就 是 将 会 在 第 2 章 中 详 
细 介 绍 的 网 络 控制 器 (缩写 也 是 NIC，Network Interface Controller ) ， 
目前 网 络 控制 器 多 用 NIC 来 表示 。 





图 1-20 100BASE-TX PCI 以 太 网 卡 的 示例 























@ 以 太 网 控制 器 : 负责 处 理 以 太 网 帧 格式 、 收 发 接口 处 信号 、 完 成 数据 从 总 线 到 CPU 的 中 继 
等 。 将 物理 层 的 PHY 处 理 与 数据 链 路 层 的 MAC 处 理 两 块 单元 集成 在 一 个 分 组 中 。 

全 PIC 总 线 连接 头 : 连接 与 CPU 的 通信 线路 。 

人 @ 以 太 网 接口 连接 头 : 使 用 RJ-45 以 大 网 线 绕 进行 连接 。 

@ LED 指示 器 : 显示 以 太 网 的 工作 状态 。 

















控制 闯 口 


对 网 络 人 硬件 的 初始 设置 、 管 理 、 调 试 等 需要 通过 专用 的 端口 来 完成 ， 这 
类 端口 承 叫 做 控制 端口 〈console port) 或 串 行 端口 〈serial port) 。 控 制 
端口 一 般 使 用 DB-9 (RS-232) 、RJ-45、RJ-48 标准 〈 表 1-37) 。 


用 于 管理 的 个 人 计算 机 使 用 线 缆 通过 DB-9 串口 或 者 USB 接口 连接 到 网 
络 硬件 ， 通 过 Hyper 超级 终端 或 TeraTerm 这 类 终端 软件 与 硬件 进行 交 
互 连 接 。 


个 人 计算 机 与 网 络 硬件 连接 的 线 统 叫 做 控制 线 统 〈( 图 1-38) 。 根 据 硬 件 
的 不 同 控制 问 口 pin 的 分 配 也 有 所 差 寞 ， 因 此 需要 先 选 择 使 用 直 连 线 统 
“0 然后 使 用 转换 器 进行 转换 ， 并 对 应 正确 的 极 性 来 进行 连 
有 的 低 端 路 由 器 或 交换 机 不 提供 控制 端口 ， 而 是 将 192.168.1.1 这 种 私 
人 0 以 太 网 接口 的 初始 值 ， 然 后 通过 以 太 网 的 WebUI 进行 
初始 设置 。 


表 1-37 控制 端口 








名 称 pin 设 置 





12345678 





表 1-38 控制 线 缆 


线 线 





RJ-45/DB-9 〈 母 头 ) 线 缆 


CI 





DB-9 (〈 母 头 ) /DB 〈 母 头 ) 线 缆 
DB-9 〈 公 头 ) /DB A 线 缆 





RJ-45/DB-9 〈 母 头 ) 转 接 口 





DB-9 母 头 / 母 头 迷你 转 接口 
DB-9 公 头 / 公 头 你 转 接口 
DB-9 公 头 / 母 头 迷你 转 接口 
Row 
eh Gar 
~ A 





USB 串 口 转 接口 





< 人 


RJ-45 连接 控制 端口 


网 络 设备 的 控制 端口 和 个 人 计算 机 的 连接 可 以 使 用 DB-9/DB-9 线 费 或 
USB 串口 转 接 口 来 进行 ， 但 如 果 控 制 端口 是 RJ-45 时 ， 则 需要 使 用 RJ- 
45/DB-9 转 接 口 〈 如 图 1-21 所 示 ) 。 该 转 接口 内 部 有 直 连 和 交叉 连接 两 
种 方式 ， 所 以 需要 注意 在 连接 除 网 络 设备 以 外 的 设备 时 ， 不 要 和 弄 错 接口 
的 极 性 。 


a \ 


”Ww 
9 J 


连接 至 网 络 设 4\ YY _RJ-45 ~ 
备 的 RJ-45 控 = os 一 一 人 
制 端 口 ~ B- 

Em Fae 


连接 至 个 人 计算 机 的 USB 端 口 ”全 


图 1-21 通过 RJ-45/DB-9 转 接 口 连接 个 人 计算 机 


DB9 ( 公 头 ) 
1 5 
Oooo 
87654321 6 a 
pin RJ-45 连 接头 pin ( 公 头 ) 连接 头 





图 1-22 RJ-45/DB-9〈 公 头 ) 转 接 口 : 直接 连 线 


DB9 ( 母 头 ) 
Ce 
9 6 


87654321 
pin RJ-45 连 接头 pin ( 母 头 ) 连接 头 








全 反 线 缆 


思科 系统 公司 〈 以 下 简称 为 思科 公司 ) 生产 的 路 由 器 所 使 用 的 控制 线 统 
叫做 全 反 线 统 (rollover cable〉。 全 反 线 绕 采 用 双 头 端口 连接 管理 PC， 
有 两 种 类 型 。 一 种 是 两 头 都 是 RJ-45 端口 ， 其 中 一 头 连 接 RJ-45/DB- 

9【〈 公 头 ) 转 接 口 ; 另外 一 种 是 一 头 为 RJ-45， 一 头 为 DB-9 端口 。 





图 1-24 两 头 都 是 RJ-45 端口 的 全 反 线 绕 ， 其 中 一 头 连接 RJ-45/DB-9 
转 接 口 











图 1-25 一 头 为 RJ-45， 男 一 头 为 DB-9 的 全 反 线 缆 
数据 端口 


由 于 以 太 网 的 广泛 普及 ， 目 前 路 由 器 、 交 换 机 、 防 火 墙 以 及 其 他 的 有 线 
连接 设备 均 配 有 RJ-45 的 以 太 网 接口 。 


e。 板 载 端 口 
初始 安装 于 硬件 主体 内 部 的 接口 ， 无 法 拆 外 。 

。 接口 模块 
作为 可 选 模块 安装 在 硬件 主体 内 ， 可 以 拆 邑 。 在 CLI 设备 统计 信息 
中 显示 和 网 络 拓扑 图 中 记录 的 接口 标签 几乎 都 采用 了 “接口 类 别 + 


模块 号 /接口 号 ”的 形式 。 例 如 ， 某 设备 有 两 个 板 载 的 快速 以 太 网 
接口 ， 可 以 表示 为 Fa0/1 和 Fa0/2， 其 中 0 表示 模块 号 。 如 果 是 在 








第 2 个 接口 模块 上 的 第 3 个 接口 则 表示 为 Fa2/3。 接 口 标签 中 的 接 
口 种 类 如 下 表 所 示 。 


接口 标签 中 的 接口 种 类 《以 工 号 模块 上 的 工 号 接口 为 
|) 


接口 种 类 接口 标签 示例 
JOVPivs 以 大 网 
快速 以 太 网 Fal/1、 el1/1、Eth1/1 


干 兆 以 太 网 Gil/1、 Gigl/1、 ge-1/1、 el/1l、 Eth1/1 
万 兆 以 太 网 Tel/1、 xe-1/1、 el/1、Eth1/1 


。 接口 线 卡 


在 机 框 式 路 由 器 和 交换 机 中 ， 提 供 了 一 种 名 为 线 卡 (ine card) 的 

接口 卡 。 在 线 卡 内 部 可 以 插入 多 个 接口 模块 ， 这 时 的 接口 标签 一 般 

采用 “ 线 卡 号 / 模块 号 /接口 写 ” 的 形式 。 例 如 ， 插 入 1 号 线 卡 的 第 

ne 
示 ， 











板 载 快速 以 太 网 端口 





图 1-26 网 络 设备 上 的 各 种 接口 





图 1-29 接口 线 卡 内 插入 接口 模块 的 示例 
01.04.09 ”信号 转换 器 
在 以 太 网 使 用 Gbits 以 上 的 速率 进行 通信 时 ， 有 时 会 在 路 由 器 和 交换 机 








的 接口 上 安装 信号 转换 器 。 路 由 器 、 交 换 机 总 会 配备 几 个 RJ-45 接口 来 
连接 UTP， 但 这 也 仅 限 于 使 用 10/100BASE-TX 和 10/100/1000BASE-TX 
标准 时 的 情况 。 


千 兆 以 太 网 和 万 兆 以 太 网 有 1000BASE-SX、1000BASE-LX、 
10GBASE-ER 等 使 用 光纤 作为 物理 传输 媒介 的 标准 ， 不 同 标 准 所 使 用 的 
波长 和 输出 功率 也 有 差异 。 路 由 器 、 交 换 机 一 般 都 不 配备 专用 的 光纤 接 
口 ， 而 是 提供 自身 所 对 应 的 信号 转换 器 的 接口 ， 这 样 就 可 以 根据 实际 环 
境 灵 活 地 对 标准 进行 适当 的 调整 。 一 般 一 台 设 备 会 配备 多 个 转换 器 接 








口 。 以 一 台 拥 有 4 个 SPF 接口 的 交换 机 为 例 ， 通 党 由 两 个 1000BASE- 
SX 和 两 个 1000BASE-LX 组 成 ， 不 同 标 准 的 信号 转换 右 能 够 组 合 使 
用 。 


在 设备 的 信号 转换 器 接口 上 插入 需要 使 用 的 物理 标准 转换 器 ， 随 后 在 信 
号 转换 占 转 换 接 口上 插入 光纤 〈 或 双 绞 线 ) ， 这 样 束 连 接 上 了 线 统 。 


言 号 转换 器 一 般 由 设备 制造 商 提供 可 选 产品 ， 买 家 也 可 以 绕 过 设备 商 直 
接 从 网 店 购买 相同 规格 的 产品 。 但 由 于 后 者 的 渠道 可 能 不 正规 ， 购 买 产 
0 0 00 
点 需要 注意 。 














图 1-30 ”将 信号 转换 器 入 设备 机 身上 的 信和 转换 器 接口 ( 书 ) 信号 转换 
器 的 另 一 头 插入 光纤 连接 头 〈(D) 


在 表 1-40 内 列举 了 信号 转换 器 的 种 类 。 
表 1-40 ”信号 转换 器 的 种 类 


图 片 








-> 


千 兆 以 太 网 专用 
1000BASE-SX、 

GBIC (Gigabit| 1000BASE-LX、 

Interface 1000BASE-T 等 。 使 用 SC 接 

Converter) 头 作 为 光 接 口 ， 支 持 Hot 
Swap 〈 热 插 拔 ) 
100(D)x30(W) xl13(HD 


如 








用 于 1000BASE-SX/LX 





用 于 1000BASE-T 


于 1998 年 完成 标准 化 ， 也 
称 为 mini-GBIC。 大 小 约 为 
SFP (Small GIBC 的 1/3， 集 成 度 很 高 。 
Form-Factor 一 般 为 SONET、 千 兆 以 太 


Pluggable) 网 专用 ( 表 1-41) ， 使 用 
LC 接头 
(W)13.4x(D)56.5x(H)8.5mm 





2001 年 出 现 的 万 兆 以 太 网 
XENPAK 信号 转换 器 。 支 持 Hot 
Swap， 使 用 SC 接头 


XFP (10 
Gigabit Small 
Form Factor 
Pluggable) 





SFP+ (Small 
Form-Factor 
Pluggable 
plus) 


2002 年 制定 的 、 用 于 万 兆 
以 太 网 的 转换 器 ， 对 应 
10GBASE-SR、10GBASE- 
LR、10GBASE-EW 标 准 
等 ， 使 用 SC 接头 


2006 年 制定 ， 用 于 万 兆 以 
太 网 的 信号 转换 器 〈 表 1- 
42) 。 与 XENPAK 和 XFP 相 
比 ， 有 体积 小 、 集 成 度 
高 、 省 电 等 优点 ， 使 用 LC 
接头 





表 1-41 SFP (1Gbit/s) 种 类 


光纤 种 类 模式 带宽 


om mm lm | 
Sm CR 和 


1000BASE-LX 


1000BASE-BX ( 下 行 BX-D 与 上 行 BX-U 两 对 ) 


10006ASEZX r= "I 
1000BASE-EX 11550nm | 标准 8.1 标准 81 | -一 | 120km 

注 1: 160MHz/km 是 指 在 1km 以 内 使 用 160MHz 带宽 传输 信号 ， 在 2km 内 则 使 用 80MHz 带宽 
传输 信号 。 








表 1-42 SFP+ (10Gbit/s) 的 种 类 


光纤 种 类 核心 尺寸 | 模式 带宽 | 传输 距离 
rn 


lOGBASE-SR 850nm MMF 














注 1: Twinax 线 缆 是 使 用 两 种 金属 材料 将 双 绞 线 进行 屏蔽 后 的 线 绕 。 


CONDUCTORS ( 导线 ) BLUE ( 蓝 ) TWINAX 翁 
st) 
DIELECTRIC ( 绝缘 材料 ) 


WHITE OR rR es [os OUTER JACKET ( 外 部 包 豪 层 ) 
( 白色 或 本 色 ) ( 填充 物 ) | 编制 屏蔽 物 ) 


01.04.10 LED 指示 灯 

安装 于 网 络 设备 正面 的 LED 指示 灯 ， 能 够 使 用 户 对 设备 的 系统 运行 状 
态 和 接口 状态 一 目 了 然 。 大 部 分 设备 会 在 机 身 外 部 的 某 个 地 方 集 中 放置 
多 个 LED 指示 灯 ， 但 也 有 的 设备 是 在 物理 接口 处 放置 LED 指示 灯 。 


表 1-43 LED 指示 灯 的 种 类 


| 


电源 LED 电源 接 通 时 指示 灯亮 ， 电 源 断 开 时 指示 灯 塌 灭 





LED 各 有 有情 涡 发生 时 让 


LINK/ACT 用 来 表示 接口 是 否 连 通 ， 是 否 有 数据 在 该 接口 处 传输 。 一 般 每 
LED (接口 LED) 一 个 接口 上 都 会 有 该 指示 灯 

















Lisco SYSTENS 


<>sYST 
ORps 
OMAsTR 
Sw 
DUpLX 
OspeED 
Osmae K 


MODE (可 


©) OW) De) 


MODE BUTTON STATUS LED 
Stack LED | MASTER LED 


SPEED LED RPS LED 
DUPLEX LED 四 SYSTEM LED 


图 1-31 以 思科 公司 的 Catalyst 3750 为 例 〈 资 料 来 源 于 产品 的 安装 手 
册 ) 


01.04.11 操作 系统 (内 核 ) 


一 般 网 络 设备 中 安装 和 使 用 的 操作 系统 都 是 采用 类 似 Unix 这 种 厂商 独 
自 研 发 的 实时 操作 系统 内 核 ， 或 是 基于 开源 的 FreeBSD 和 Linux 定制 的 
系统 。 网 络 设备 中 比较 有 名 的 操作 系统 有 思科 公司 的 IOS 以 及 Juniper 
Networks 公司 的 JUNOS。 


表 1-44 每 个 产品 对 应 操作 系统 的 名 称 














厂商 /产品 名 称 操作 系统 名 称 


Cisco 路 由 器 IOS (Internetwork Operation System ) 


Cisco Catalyst 交 换 机 CatOS (Catalyst 操 作 系 统 ) 
Cisco Nexus 交 换 机 NX-OS 


Wl 交换 机 、 防 火 增 JUN 操 作 系 统 〈Juniper 操作 系统 ) 


TMOS (Traffic Management Operating 
System) 


F5 Networks Big-IP/Firepass 等 


Palo Alto Networks 防 火 墙 


01.04.12 ”电源 


网 络 硬件 使 用 的 电源 (Power Supply) 有 AC 电源 和 DC 电源 两 类 ， 其 
中 AC 是 交流 电源 (Alternative Current) ，DC 是 直流 电源 (Direct 
Current) 。 


家 庭 或 普通 企业 使 用 的 几乎 都 是 AC 电源 ， 大 型 数据 中 心 和 通信 基础 设 
施 公司 中 的 大 型 设备 有 时 会 使 用 DC 电源 ( 表 1-45) 。 


AC 电源 分 为 内 部 电源 和 通过 外 接 AC 电源 适配器 的 外 部 供电 两 类 。 中 
型 规模 以 上 的 网 络 人 硬件 一 般 会 内 置 电源 模块 (power module) ， 小 型 设 
备 则 多 使 用 AC 电源 适配器 。 


电力 公司 提供 的 电力 可 以 分 为 民用 〈( 单 相 ) 与 工业 用 (三 相 ) 两 类 ， 但 
几乎 所 有 的 网 络 设备 运行 使 用 单 相 的 电源 和 参数 。 一 部 分 大 型 路 由 器 也 
会 使 用 三 相交 流 电 ， 但 需要 配备 相关 设备 。 下 面 就 以 AC 单 相 交流 电源 





为 主 进行 介绍 。 
表 1-45 电源 的 种 类 


电源 内 置 型 ( 单 相 ) 机 架 式 网 络 设备 


s 二 人 (CRS-1、T1600 等 ) 的 











外 部 电源 型 〈( 单 相 100V 的 AC 电 源 , 
适配器 ) 桌面 小 型 网 络 设备 


rr 
电源 规格 


在 对 数据 中 心 和 办 公 室 服务 嚣 机房 的 电源 进行 设计 时 ， 还 必须 要 确认 网 
络 硬件 所 需 电 源 的 规格 。 在 表 1-46 中 列 出 了 一 些 主要 电源 规格 参数 。 


表 1-46 主要 的 电源 规格 
































AC 答 入 电压 “| 即 AC 电 源 在 规格 范围 内 输入 的 标准 电压 。 
ye a 一 仿生 用 100V 划 和 交 注 电 从 为 输入 电 星 ”不 人 
voleze 六 | 世界 范围 内 使 用 的 电压 几乎 都 在 100~240V 之 

间 。 该 参数 单位 为 VAC (交流 伏特 ) 






































AC 输 入 频率 ”|AC 电 源 对 应 的 、 输 入 交流 电 的 频率 ， 参 数 单 位 
(AC input 为 赫兹 (Hz) 。 以 日 本 为 例 ， 东 日 本 是 50Hz， | 47~63Hz 
frequency ) 西日本 是 60Hz 

















(AC input “|*《〈 输 入 电压 x 功 率 cx 转化 家 人 3A (110V) 
ee 得 。 参数 单位 为 安培 (A) ， 2A (230V) 
入 电压 的 不 同 而 变化 









































DC 输入 电压 “|Dc 电 源 对 应 的 输入 电压 。 单 位 为 VDC 〈 直 流 伏 | 一 48VDC、 一 
CDCinput “| 特 ) 60VDC 范围 为 一 
voltage) 40~ 一 72VDC ) 


DC 输入 电流 
(DC input 
current ) 


消费 电能 
(power 
consumption) 





发 热量 (heat 
dissipation ) 


效率 
(efficiency) 


瞬间 起 峰 电 流 
(Inrush 
current ) 


漏电 流 (leak 
current ) 


元 余 电源 


高 端 网 络 硬件 的 电源 模块 一 般 会 


























流入 DC 电源 的 电流 值 。 
压 ” 的 公式 计算 而 得 


能 :输入 电 




















有 有 时 会 用 最 父 消耗 电 
、 平 均 消耗 电能 的 表示 进行 区 分 。 单 位 为 瓦 
特 、 (W) 或 英 热量 每 小 时 (BTU/hr) 






































产品 (电源 ) 发 热 的 统计 量 。 网 络 硬件 常 使 用 
的 单位 虽然 是 BTU/hr( 英 热量 每 小 时 ) ， 但 是 
也 可 以 用 kcal/hr〈 千 卡 每 小 时 ) 或 KJjhr 〈 于 焦 
每 小 时 ) 

















输出 电力 与 有 效 输 入 电力 的 比值 。 
力 = 有 效 输入 电力 x1009% 


效率 = 输出 电 








有 功 功率 和 视 在 功率 的 比值 。 功 率 因子 越 高 ， 
说 明 交 流 电 转化 为 直流 电 的 效率 越 高 











在 电源 接 通 输入 电压 的 瞬间 产生 的 电流 的 峰值 





























在 原本 不 会 有 电流 流通 的 电路 上 出 现 的 电流 。 


股 在 集成 电路 中 发 生 























58A (DC-48V) 、 
最 大 70A (DC- 
48V) 


52W (177BTU/hr) 
*BTU 是 British 
Thermal Unit 的 缩 
写 ， 属 于 英制 热量 
单位 








525BTU/hr 


使 用 高 功率 因子 电 
路 可 以 使 该 值 达 到 
0.95 以 上 ， 一 般 在 
0.6~0.7 之 间 。 


115V 时 为 30A 


AC264V 时 在 
0.25mA 以 下 





配备 至 少 两 个 电源 模块 作为 元 余 电 源 


(Redundant Power Supply) 方案 。 见 余 电源 的 好 处 在 于 当 一 个 电源 无 


法 供电 时 ， 


男 一 个 电源 能 够 迅速 接手 其 工作 ， 保 证 人 硬件 继续 运 





一 /一 


o 


电源 


无 法 供电 的 原因 有 电源 模块 本 身 故 障 、 电 源 线 缆 断 开 、 停 电 ， 等 等 。 





图 1-32 Dual AC 输 入 型 电源 (一 个 电源 模块 搭载 两 个 电源 的 类 型 ) 





图 1-33 ”Cisco Catalyst 6500 电源 (一 个 机 框 内 搭载 多 个 电源 模块 的 类 
型 ) 
电源 容量 


设备 所 需 的 电源 容量 根据 设备 大 小 的 不 同 而 不 同 。 一 般 来 说 ， 使 用 AC 
电源 适配器 的 台式 计算 机 的 设备 ， 其 电源 容量 和 笔记 本 电脑 的 差不多 
《从 几 十 瓦 到 100 瓦 之 间 不 等 ) ， 中 型 路 由 器 及 交换 机 的 电源 容量 和 台 
式 计算 机 接近 《从 几 百 瓦 到 500 瓦 不 等 ) ， 高 端 产品 一 般 为 500 瓦 至 数 
千瓦 ， 需 要 配备 同 空 调 、 电 磁 炉 等 类 似 的 电源 容量 。 


电源 容量 示例 


Cisco 1812J 路 由 器 : 80W AC 电 源 适 配器 








Cisco 7200 系 列 : 最 大 370W 的 AC 电 源 或 DC 电源 


Juniper T640: 最 大 6400W 的 AC 电 源 


电源 容量 即 设备 (包括 机 框 ) 配备 的 电源 模块 能 够 提供 的 最 大 功率 ， 需 
要 与 之 区 别 的 是 设备 参数 目录 中 另 一 项 称 为 "最 大 耗 电量 "的 参数 ， 该 参 
数 表示 设备 运行 时 实际 需要 消耗 的 电能 。 它 们 之 间 的 关系 是 “电源 容量 
> 最 大 耗 电量 "。 设 备 一 般 在 启动 时 和 CPU 满 负载 处 理 时 最 为 耗 电 ， 而 
设备 在 普通 状态 下 运行 所 消耗 的 电能 在 一 些 设备 的 产品 规格 目录 中 则 使 
用 了 “平均 耗 电量 ”一 词 来 表示 。 


电源 容量 以 及 耗 电量 的 单位 为 W〔 瓦 特 ) ， 不 过 也 可 以 用 发 热量 的 单位 
BTU/hr (British Thermal Unit per Hour， 英 热量 单位 / 时间) 也 来 表示 。 









































属于 英制 度量 衡 。 目 前 我 国 使 用 的 国际 标准 度量 衡 是 基于 1875 年 法 国 牵 头 指 定 的 米 制度 
。 英 制度 量 衡 历 历史 依 久 ， 在 英语 国家 较为 流行 ， 目 前 仍 在 大 量 使 用 ， 如 品 脱 、 英 寸 等 。 但 由 
于 基 进位 里 包 过 于 复杂 ， 在 世界 范围 内 还 是 米 制度 量 衡 的 使 用 更 为 广泛 。 译 者 注 
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1 BTU/hr=0.293W 
1 W=3.60 KJ/hr=3.412 BTU/hr 


如 果 使 用 UPS 后 文中 会 提 到 ) ， 则 需要 计算 出 消耗 VA( 伏 安 ) 值 ， 
然后 以 此 作为 选择 UPS 规格 的 依据 。 这 时 需要 使 用 到 下 面 的 公式 。 


消耗 VA= 消耗 电能 “W) = 功率 因子 


功率 因子 是 有 功 功 率 和 视 在 功率 的 比值 ， 根 据 不 同 的 电路 类 型 数值 也 会 
不 同 ， 但 一 般 在 0.6~0.9 之 间 。 


消耗 VA 的 单位 是 VA〔( 伏 安 ) ， 通 过 “电流 (A) x 电压 (V) ”的 公式 
计算 而 得 。 


AC 电源 适配器 


由 于 网 络 设备 是 面 癌 全 世界 销售 的 ， 因 此 AC 电源 适配器 主体 基本 都 是 
全 世界 通用 的 ， 只 不 过 组 合 使 用 的 AC 线 统 可 能 会 根据 国家 的 不 同 而 
异 。 日 本 从 2006 年 开始 规定 所 有 电气 商品 都 需要 满足 电 融 用 品 安全 法 
的 安全 标准 、 获 得 PSE 认证 标志 ， 没 有 PSE 标记 的 电源 适 配 右 无 法 在 
因此 从 海外 进口 的 产品 也 需要 完成 PSE 的 认证 才能 
开始 销售 。 

















[1 AC 电 源 适 配器 主体 DC 插头 


LI 





AC 线 绕 DC 线 费 
图 1-34 AC 电源 适配器 
电源 的 安全 标准 


使 用 网 络 硬件 这 类 电气 设备 或 产品 时 ， 需 要 有 和 针对 性 地 对 火灾 隐患 制定 
安全 防范 标准 〔 表 1-47) 。 安 全 标准 一 般 由 国家 或 国际 组 织 制定 ， 销 售 
的 产品 有 义务 取得 安全 标准 的 认证 。 在 世界 各 国 使 用 的 网 络 硬件 中 ， 电 
源 模块 以 及 AC 电源 适配器 部 件 十 要 符合 各 国 认可 的 安全 标准 。 











1 Fe A&CEO 
图 1-35 认证 标志 示例 : Juniper SSG-5 
表 1-47 主要 安全 标准 


说 明 











由 《电气 用 品 管理 
法 》 修 订 而 成 ， 
2001 年 开始 实施 。 
PSE 是 Product 
Safety Electrical 
Appliance&Material 
的 缩写 ， 一 般 用 
PSE 法 代 指 电器 用 
量 安 全 法 。 

电气 用 品 分 为 “ 特 
殊 电气 用 晤 品 * 和 “ 非 
特殊 电气 用 品 ” 两 


























UL 


。 特 殊 电 气 用 品 
人 
关 的 适应 性 检测 ， 
并 保管 好 认证 书 。 
另外 ， 某 些 特殊 用 
品 还 必须 有 PSE 认 
证 标志 ， 没 有 该 标 
志 的 用 品 禁止 销 
售 。 海 外 厂商 制造 
的 通信 硬件 在 日 本 
销售 前 ， 也 必须 接 
受 认 证 机 构 对 属 
于 “特殊 电气 用 
品 ” 的 电源 序列 和 
AC 电 源 适配器 所 进 
行 的 检测 ， 获 得 
| 







































































UL 是 Underwrtriters 
Laboratories Inc. 的 
缩写 {17[ 在 华 机 构 
为 UL 美 华 认证 有 
限 公 司 。 译 者 
注 ]}。 该 机 构 是 
1894 年 美国 火灾 保 
险 业 联盟 设立 的 非 
营利 性 测试 机 构 ， 
是 美国 18 所 国家 认 





























证 实验 室 
(NRTL, National 
Recognized Testing 




















电气 产品 的 认证 六 
试 。 虽 然 UL 认 证 
和 























FCC 是 Federal 
Communications 
Commission 〈 联 邦 
通 已 言 委 员 会 Zs ) 的 缩 
写 ,成立 于 1934 
年 ， 是 美国 联邦 政 
府 管理 通信 、 电 信 
和 无 线 的 政府 机 
构 。 成 立 至 今 YY， 该 
机 构 制定 了 广播 、 




















特殊 电气 用 品 的 PSE 标 志 


非特 殊 电气 用 品 的 PSE 标 志 


UL 认证 








中 





标志 示例 


FCC 电视 、 卫 星 通信 人、 
无 线 通 信 等 多 个 领 
域 的 标准 ， 这 些 标 

仁 履 盖 了 美国 国内 

各 州 之 间 的 通信 与 

国际 通信 和 领域 。 另 

外 ， 无 线 电话 以 及 

无 线 LAN 这 类 发 射 

无 线 电波 的 硬件 必 

须 通 过 FCC 的 认证 

A 















































FCC 认 证 标志 











Canadian Standard Association 的 缩写 ， 是 加 拿 大 对 于 电气 产品 的 安全 认证 。 在 加 拿 大 
国内 销售 的 电气 产品 均 需 通过 该 安全 认证 才能 得 到 销售 许可 。 在 UL 接受 安全 认证 的 
加 拿 大 产品 会 获得 cUL 或 cULus 的 认证 标志 ， 这 个 标志 和 CSA 标 志 同 样 有 效 


加 qh c(UL)us c(UL 


CSA 标志 cULus 标志 cUL 标志 












































CE 认证 是 指 在 

EU 〈 欧 盟 ) 地 区 销 

售 指定 商品 (包括 
通信 设备 ) 时 需要 
获得 的 安全 认证 
符合 EC 指令 (EC 
Directive ) {18[ 这 

CE 认证 | 里 EC 指令 中 的 指 
































令 是 欧盟 法 案 的 一 
种 称呼 。 一 一 译 者 
注 ]} 中 规定 的 安全 

标准 的 产品 可 以 获 
得 CE 认证 标志 ， 不 
符合 的 则 不 允许 在 
欧盟 内 销售 





CE 认证 标志 


IEC 是 International Electrotechnical Commission 的 缩写 ， 是 一 个 国际 电气 标准 会 议 的 
际 标准 化 组 织 {19[ 我 国 称 其 为 国际 电工 委员 会 。 译 者 注 ]}。 它 颁布 了 保证 电气 产 
品 品质 与 安全 性 的 标准 评价 制度 IECEE (IEC System for Conformity Testing and 
IEC、 Certification of Electric Equipment，IEC 电 工 产 品 安全 认证 体系 ) ， 并 以 此 为 基础 设立 
CB 了 CB (Certification Body) 框架 。 凡 是 在 某 个 IECEE 成 员 国 国 内 的 认证 机 构 (NCB， 
National Certification Body) 完成 产品 测试 ， 并 获得 CB 认 证 的 产品 ， 均 可 获得 其 他 成 











| 
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员 国 NCB 机 构 的 认证 ， 免 去 了 二 次 测试 认证 的 矿 烦 {20[IECEE-CB 可 以 理解 为 一 种 证 
书 互 认 的 体系 。 一 一 译 者 注 ]} 





EN (European 
Norm) 也 称 为 
European 

Standard〈 欧 洲 标 
9 
员 国 之 间 为 了 贸 
自由 化 以 及 产业 水 
平 统一 化 而 制定 的 
区 域 标 准 。 符 合 EN 
标准 的 产品 可 获得 
ENEC 认 证 标志 ， 

可 以 在 整个 欧盟 地 
区 内 销售 























ENEC 标 志 (数字 表示 认证 机 关 的 多 














VCCI (Voluntary 
Control Council for 
Interference by 
Information 
Technology 
Equipment， 电 磁 干 
扰 控 制 委员 会 ) 是 
对 通信 硬件 等 信息 
技术 设备 发 射 的 无 
线 电波 〈 从 设备 内 
对 外 发 射电 磁 破 ) 
进行 协定 的 业内 
体 ， 同 时 也 是 标准 
名 称 。 对 商业 、 工 
业 区 域 允 许 使 用 的 
设备 定 级 为 Class 
A， 对 于 住宅 地 区 
允许 使 用 的 设备 定 
级 为 Class B。Class 
A 的 设备 需要 专用 
的 机 架 和 服务 器 机 |VCCI 认 证 标志 
房 进行 安置 ，Class 

B 的 设备 要 求 则 相 


















































对 宽松 


电源 线 绕 
电源 线 线 由 线 缆 、 插 头 、 插 口 、 连 接头 等 部 分 构成 。 
在 日 本 销售 的 线 线 的 插头 和 插口 如 表 1-48 所 示 。 


表 1-48 电源 线 绕 的 组 成 要 系 


线 绕 的 
组 成 要 范例 
素 


2 极 (NEMA1-15p、JIS 
C 8303、Lath II) 


2 极 配备 接地 线 


3 极 (NEMA5-15p) 


2 极 (IEC 60320-C7) 
* 多 用 于 AC 电源 适配器 





3 极 (IEC 60320-C13) 
* 用 于 内 置 电源 或 AC 电 
源 适 配器 





3 极 (IEC 60320-C5) 
* 多 用 于 AC 电源 适配器 






2 极 (IEC 60320-C7) 
* 用 于 AC 电源 适配器 





线 纹 连 


3 极 (IEC 60320-C14) 

* 用 于 内 置 电 源 、AC 电 
源 适 配器 、PDU (机 架 
电源 ) 等 


比 长 
统 长 8ft (8ft 三 2.44 米 ) 居多 


格 7A-125V (125V、7A 内 均 可 使 用 ) 


01.04.13 PSE 〈 电 气 用 品 安全 法 ) 


该 法 由 《电气 用 品 管理 法 》 修 订 而 来 ， 于 2001 年 起 正式 实施 ，2006 年 
之 后 ， 规 定 PSE 标志 作为 一 种 义务 必须 予以 标识 (图 1-36) 。 大 多 进 
口 自 国外 厂商 的 网 络 硬 件 在 日 本 国内 销售 时 也 必须 通过 PSE 认证 ， 万 

其 是 电源 线 绕 和 AC ee lh 《电气 用 品 管理 法 中 》“ 特 殊 
电气 用 上 喇 ” 的 硬件 ， 必 须 通 过 指定 机 构 的 测试 才能 进行 销售 。 











图 1-36 PSE 标志 
01.04.14 UPS 


网 络 人 硬件 一 般 需要 电源 才能 运转 ， 但 有 时 因为 条 些 原因 (如 表 1-49) ， 
可 能 会 出 现 突然 停电 的 情况 。 停 电 时 ， 所 有 设备 全 部 停止 运行 ， 通 信也 
会 中 断 。 即 使 是 突然 停电 ， 几 乎 所 有 的 路 由 器 、 区 换 机 等 网 络 设备 产品 
也 能 在 恢复 供电 后 目 动 恢复 运行 ， 重 新 开始 通信 。 但 是 那些 基于 通用 服 
务 器 的 网 络 硬件 则 需要 在 电源 关闭 之 前 运行 关机 命令 。 另 外 ， 当 设备 在 
进行 磁盘 写 入 操作 时 ， 突 然 俘 电 可 能 会 导致 正在 写 入 的 数据 丢失 ， 甚 至 
会 导致 供电 恢复 设备 也 无 法 再 次 局 动 。 


因此 即使 是 那些 无 需 关 机 命令 的 网 络 便 件 ， 为 了 提高 可 靠 性 ， 也 建议 配 
备 UPS 〈Uninterruptible Power Supply， 不 间断 电源 供应 系统 ) 。 设 备 配 
备 了 UPS 后 ， 即 使 遇 到 停电 ， UPS 也 能 够 向 所 连接 的 设备 提供 一 定时 
间 的 电力 供应 。 一 般 来 襄 ，UPS 持续 提供 电力 的 时 间 在 几 分 钟 到 30 分 
钟 不 等 。 如 果 需 要 应 对 更 长 时 间 的 停电 ， 就 需要 自 备 发 电机 了 。 


表 1-49 电源 故障 的 原因 示例 


突然 高 负载 用 电 ， 导 致电 疗 跳 闻 

供电 设备 故 | 启动 时 电流 过 高 导致 电压 波动 

障 。 “| 设备 老化 导致 输出 功率 下 降 

输电 装置 或 电子 设备 的 开关 等 发 生 “ 电 力 噪声 * 
输电 系统 故障 导致 停电 (可 用 UPS 应 对 ) 

重 电 导致 的 | 因 吕 雷 设施 机 制 引发 的 瞬间 停电 和 电力 变 弱 



























































ty 说 | 雷电 引发 的 电力 噪声 
因 备 电 引 发 的 电压 异常 陡 增 与 电流 异常 陡 增 《 雷 电 浪 涌 电 流 ) 需要 
使 用 防 浪 涌 电 流 装置 ) 


人 为 引起 的 | 故意 或 不 小 心切 断 电 源 线 绕 导 致 跳闸 
故障 预先 通知 了 的 、 由 于 施工 或 检查 等 商业 原因 的 停电 


















































01.04.15 ”风扇 


中 端 级 别 以 上 的 网 络 设 备 大 多 配备 冷却 风 书 (Fan) (图 1-37) ， 

由 于 设备 内 部 运行 部 件 的 半导体 元 器 件 ， 尤 其 是 CPU 在 运行 中 会 才 作 
大 量 的 热量 。 如 果 不 冷 却 ， 会 导致 系统 过 热 〈over heat) ， 影 响 半 导体 
工作 ， 甚 至 导致 其 停止 运行 ， 另 外 ， 过 热 也 会 减少 CPU 以 及 其 他 半 导 
体 部 件 的 正常 使 用 寿命 。 


a 那 就 是 由 于 它 是 靠 马 达 融 动 叶 所 旋转 工作 的 ， 
此 噪声 很 


一 般 设 备 中 会 通过 特定 的 传感器 监视 风 虱 的 运转 是 否 正 常 。 当 风 刷 转速 
低 于 某 个 数值 时 ， 会 引发 SNMP trap 或 系统 日 志 事 件 ， 进 行 记录 输出 。 


在 高 端 网 络 设备 中 ， 还 会 配备 能 够 在 设备 处 于 运行 状态 时 也 能 替换 《〈 即 
热 插 拔 ) 的 风扇 部 件 〈 如 图 1-38 所 示 ， 叫 做 风扇 单元 或 风扇 模块 ) 。 
这 使 得 设备 在 遇 到 风扇 故障 时 ， 能 够 迅速 替换 掉 不 工作 的 风扇 模块 。 

















图 1-37 ”风扇 





图 1-38 ”Cisco Catalyst 2360 系列 的 风扇 模块 
气流 导向 


为 了 使 设备 风 遍 在 机 框 内 部 能 够 有 效 冷却 部 件 ， 还 会 设计 一 套 气 流 导 问 
(Air Flow， 空 气 的 流通 ) 。 根 据 吸 气 口 与 风 局 的 位 置 ， 设 有 从 机 架 的 
一 个 侧面 到 另 一 个 侧面 (side to side， 如 图 1-40) 、 从 前 面 到 背面 
(front to rear， 如 图 1-41) 、 从 上 面 到 下 面 (top to bottom) 等 几 个 方 
癌 的 气流 导 同 。 网 络 人 硬件 一 般 安 放 在 服务 器 机 房 或 数据 中 心 这 类 有 温 控 
RR 
流 导 Do 


如 果 气 流通 过 的 地 方 堵塞 ， 或 者 空 际 很 小 导致 通气 不 畅 ， 就 会 引起 设备 
内 部 CPU 过 热 ， 这 些 问 题 必须 引起 重视 。 


有 时 电源 模块 还 会 配备 专用 的 风 届 ， 专 门 冷却 电源 部 分 。 














电源 模块 
图 1-39 气流 导向 结构 图 





图 1-40 ”侧面 到 侧面 的 气流 导 癌 示例 





图 1-41 前 面 到 后 面 的 气流 导 癌 示例 
无 风 局 散热 


低 端 或 桌面 式 的 设备 因为 使 用 发 热量 相对 较 少 的 CPU， 因 此 设备 中 一 般 
不 安装 风 忆 ， 而 是 使 用 散热 片 或 表面 散热 等 技术 。 


表面 散热 需要 使 用 散热 性 较 好 的 金属 做 机 号 ， 使 设备 丹 部 的 温度 不 会 太 
高 


使 用 了 无 风 忆 散热 扩 术 后 ， 就 不 会 有 噪声 了 。 





图 1-42 ”散热 片 〈《CPU 以 及 半导体 上 安装 的 散热 装置 ， 可 以 友 散 热 
量 ， 使 温度 下 降 ) 


01.05 ” 线 顷 与 周边 设备 
01.05.01 ” 双 绞 线 缆 
双 绞 线 绕 一 般 也 称 为 LAN 网 线 或 缠绕 对 线 。 


该 线 缆 两 根 细 导 线 一 组 ， 一 共 4 组， 外 部 包 右 着 线 套 。 双 绞 线 的 两 端 如 
图 1-43 所 示 ， 使 用 RJ-45 的 连接 头 。 





| RJ-45 
Pin1 


Pin8 





图 1-43 RJ-45 连接 头 
01.05.02 STP 与 UTP 


双 绞 线 分 为 外 部 有 屏蔽 的 STP 和 没有 屏蔽 的 UTP 两 类 ， 其 中 UTP 的 应 
用 比较 太 泛 。 


表 1-50 STP 与 UTP 


使 用 铝 稍 包 庄 在 外 部 ， 以 减少 外 部 电气 噪声 干扰 的 线 缆 ， 也 称 为 
Twist Pair 





屏蔽 绕 线 。 一 般 在 工地 等 噪声 干扰 较 多 的 地 方 使 用 





不 带 任何 屏蔽 的 双 绞 线 ， 也 称 为 无 屏蔽 绕 线 。 一 般 用 在 家 庭 和 办 
Twist Pair 


类 别 


双 绞 线 如 表 1-51 所 示 ， 分 成 了 几 种 规格 。 规 格 较 高 的 线 绕 可 以 代替 规 
格 较 低 的 线 绕 ， 如 6 类 或 7 类 的 线 缆 可 以 代替 100BASE-TX。 


表 1-51 双 绞 线 的 类 别 


20kbit/s 
丰 
. 令 牌 环 、ISDN、 数 字 
4Mbit/s pBX 

16Mbit/s 16MHz |10BASE-T、 令 牌 环 
. 令 牌 环 、10BASE-T 
sf 、 » 

20Mbit/s Eu 





沽 业 
EE 














| 
器 
| 



































100Mbit/s (2 对 ) 、 100MHz 100BASE-TX、 EIA/TIA- 
1Gbit/s (4 对 ) 155Mbit/s AT™ 568-A 
100Mbit/s (2 对 ) 、 100MHz 100BASE-TX、 EIA/TIA- 
1Gbit/s (4 对 ) 1000BASE-T 568-B 
1000BASE-T、 EIA/TIA- 
1.2/2.4Gbit/s 250MHz 10GBASE_T s68 卫 


EIA/TIA- 
10Gbit/s 550MHz | 10GBASE-T 568-B 2-10 
10-100Gbit/s 600MHz | 10GBASE-T EIA/TIA-568 

















注 1: 5e 表示 5 类 增强 型 〈category 5 enhanced ) 








注 2: 6a 表示 6 类 扩展 ?1 (category 6 augmented ) 


?1 国内 一 般 统称 超 5 类 、 超 6 类。 一 一 译 者 注 





01.05.03 ”光纤 
光纤 常用 于 实现 超 高 速 的 数据 传输 。 虽 然 双 绞 线 也 能 完成 10Gbit/s 速率 








光纤 的 基本 材料 多 采用 透 光 率 非常 高 的 石英 等 ， 由 这 些 材 料 形 成 了 一 个 
横 截面 中 心 部 分 (core〉 折 财 率 较 高 ， 周 围 的 金属 包 层 (clad〉 则 折 冉 
率 较 低 的 同心 圆 延伸 结构 。 


由 于 该 构造 的 特殊 性 ， 能 够 将 直射 光 封闭 在 光纤 内 部 使 光 信号 在 截面 
ee 进行 传输 ， 从 而 能 够 自由 改变 光 的 传播 线 
路 。 


单 模 与 多 模 
光纤 有 单 模 光 纤 CSMEF) 和 多 模 光 纤 (MME) 两 个 规格 ， 二 者 的 传输 
距离 不 同 。 


单 模 光 纤 (SM，Single Mode) 是 指 通过 一 个 光 信 号 来 传输 数据 ， 主 要 
用 ee 在 ITU-T G.652~657 建议 文件 中 给 出 了 标准 化 


多 模 光 纤 MM，Multi Mode) 使 用 多 个 光 信号 来 传输 数据 ， 它 的 特 后 
是 光纤 的 中 心 部 分 直径 很 长 ， 能 够 承受 很 大 的 弯曲 。 由 于 该 光纤 在 传输 
过 程 中 损耗 较 大 ， 因 此 只 适合 用 于 短 距 离 的 传输 ( 表 1-52) 。 








表 1-52 光纤 的 种 类 





模式 〈 规 














中 心 部 分 折射 率 固定 的 光纤 。 光 在 中 心 部 分 与 周围 包 层 的 边界 
部 分 发 生 全 反射 ， 在 中 心 内 部 分 成 多 个 模式 〈 光 的 路 径 ) 伟 
播 。 如 图 所 示 ， 光 在 某 些 模式 下 沿 直线 传播 ， 而 在 某 些 模式 下 
则 连续 反射 ， 这 就 导致 所 传输 的 光 信号 发 生 扭 曲 ， 从 而 形成 扭 
曲 窄带 。， 所 以 目前 几乎 已 不 再 使 用 这 种 光纤 


折射 率 分 布 
Os 
M | YY 


调整 中 心 折 射 率 分 布 ， 使 得 中 心 部 分 折射 率 很 高 ， 外 部 折射 率 
沿 径 向 递减 的 光纤 。 尽 管 与 中 心 的 光束 相 比 ， 越 靠 外 部 ， 全 反 
射 的 光束 传播 距离 越 长 ， 但 是 可 以 充分 利用 传输 速率 与 折射 率 
的 反比 例 关 系 ， 使 整个 光纤 的 折射 率 分 布 最 佳 。 当 所 有 模式 的 
光束 传播 时 间 相 互 接 近 时 ， 光 信号 的 分 散 也 越 小 。 一 般 光 纤 中 
心 的 直径 为 50pm (日 本 ) 或 者 65hm 也 称 为 FDDI 级 别 ， 主 要 
在 美国 使 用 ) 


GI (Graded MMEFE (ITU- 折 射 率 分 布 


SMF (ITU- | 是 当 光 束 波长 为 1310nm 时 ， 色 散 为 零 ， 因 此 1310nm 光束 的 传 
T G.652 播 性 能 非常 优越 。 单 模 能 够 防止 模式 色散 造成 的 光 信 号 扭曲 ， 
Table B) 传输 损耗 也 很 小 






































SI (Step Index) | MMF 



















































































用 于 长 距离 传送 的 单 模 光 纤 。 利 用 由 石英 制 成 的 光纤 在 光束 波 
Shifted Fiber， 色 | SMF (ITU- | 长 处 于 1550nm 时 传输 损耗 最 小 的 特点 ， 改 变 折射 率 的 分 布 使 
散 位 移 光 纤 ) “|TG.653) “| 得 光束 波长 色散 在 1550nm 处 最 小 ， 并 使 零 色散 光束 波长 在 

i 1550nm 中 发 生 位 移 





DSF (Dispersion 





NZ-DSF (Non- 通过 将 零 色散 光束 波长 从 1550nm 处 逐步 向 外 位 移 来 抑制 光束 
Zero Dispersion 。 波长 分 散 的 方式 ， 抑 制 了 在 1550nm 处 非 线性 传播 的 光纤 。 由 
Shifted Fiber， 不 |SME “IITU- | 于 支持 的 光波 频道 较 宽 ， 因 此 能 够 稳定 地 传输 信号 。 一 般 适 


























月 要 色散 位 移 光 TG.655) | 于 大 容量 WDM 长 距离 (光束 波长 多 次 分 割 ) 或 广域网 络 中 使 
纤 ) 用 





传输 速率 
40Gbps 
NZD 
10Gbps 
SMI/DSF 
1Gbps 





600m 1km 10km 传输 距离 
图 1-44 光纤 种 类 与 适用 范围 


光纤 的 规格 


在 ISO/IEC 11801 标准 中 定义 了 多 模 光 纤 的 标准 OM1、OM2、OM3 与 
单 模 光 纤 的 种 类 OS1。 另 外 ， 在 ISO/IEC 24702 的 标准 中 定义 了 单 模 光 
纤 标 准 OS2。2009 年 的 EIA/TIA 492-AAAD 标准 中 又 定义 了 多 模 光 纤 

标准 OM4。 这 些 标准 统称 为 OF (Optical Fiber) 类 型 。 


OMI1 历来 使 用 LED 光源 ， 该 多 模 光 纤 用 于 干 兆 以 太 网 时 ， 最 大 传输 距 
离 限定 为 200m。OM2 则 改良 了 多 模 光 纤 的 最 低 模式 带宽 ， 使 之 可 以 达 
到 500MHz/km， 在 千 兆 以 太 网 中 传输 距离 为 500m。OM3 使 用 了 
VCSEL2 光源 ， 是 被 称 为 最 适合 激光 传输 的 光纤 标准 ， 能 够 将 波长 为 
850nm 的 激光 的 折射 率 调整 为 最 佳 状态 后 用 于 万 兆 以 太 网 传输 。OM4 
标准 也 被 称 为 OM3+， 属 于 新 一 代 光 纤 标 准 范畴 ， 用 于 长 距离 的 万 兆 以 
及 40G/100G 以 太 网 的 传输 〈 表 1-53) 。OS1 与 0S2 属于 单 模 光纤 标 
准 ， 其 参数 如 表 1-54 所 示 。 一 般 会 使 用 不 同 的 颜色 在 线 绕 上 标识 出 不 
同 的 光纤 标准 ，OM1/OM2 使 用 桶 黄色 、OM3/OM4 使 用 淡 蓝 色 、 
OS1/OS2 则 使 用 黄色 。 














2 Vertical Cavity Surface Emitting LASER 〈 垂 直 腔 面 发 射 激 光 器 ) 的 缩写 ， 属 于 半导体 激光 的 








一 逢 

















表 1-53 多 模 光 纤 的 种 类 














注 1: 850nm、1300nm 


大 衰减 量 (dB/km) 注 











最 低 模式 带宽 (MHz/km) 注 1 
过 载 .发 射 带宽 | 有 效 激 光 : 发 射 带 


oom om 


850nm 
规定 

















EE 激光 的 波长 。 


表 1-54 单 模 光纤 种 类 





或 量 (dB/km) 注 1 








1310nm 1383nm 1550nm 





| 
注 1: 1310nm、1383nm、1550nm 是 激光 的 波长 。 


表 1-55 多 模 光 纤 在 以 太 网 中 最 大 的 传输 距离 


类 别 | 1000BASE-SX 10GBASE-SR 40GBASE-SR4 100GBASE-SR10 


”PP ee 





有 


没有 六 























OM4 | 没有 规定 550m (500m) 125m 125m 





表 1-56 以 太 网 与 光纤 的 传输 标准 








传输 标准 


适用 奈 光纤 种 类 


1000BASE-SX 使 用 多 模 光 纤 传 输 波 MMEF Ey 0 
长 为 850nm 的 光 信 号 GI62.5/125 


IEEE GI 50/125 1Gbit/s 


802.3z ”使 用 单 模 或 多 模 光 纤 
1000BASE-LX 传输 波长 为 1300nm 的 


光 信 号 
SM 


使 用 多 模 光 纤 传输 波 


长 为 850nm 的 光 信 

10GBASE- 号 ， 用 于 短 距离 通信 

SR/SW (LAN: 10GBASE- GI62.5/125 
SR, WAN: 
10GBASE-SW) 


使 用 单 模 光纤 传输 波 
长 为 1310nm 的 光 信 
10GBASE- 号 ， 用 于 长 距离 通信 
LR/ILW (LAN: 10GBASE- 
LR, WAN: 
IEEE 10GBASE-LW) 


802.3ae 使 用 单 模 光 纤 传 输 波 

长 为 1550nm 的 光 信 

10GBASE- 号 ， 用 于 长 距离 通信 

ER/EW (LAN: 10GBASE- 
ER, WAN: 


10GBASE-EW) 注 1 











使 用 单 模 或 多 模 光 纤 
10GBASE- 传输 波长 为 1310nm 的 GI 
LX4 (WDM) 光 信 号 ， 采 用 多 重信 62.5/125 


号 (4 重 ) 传输 。 SM | 
SM 











注 1: 在 近 距 离 中 使 用 该 标准 ， 有 时 会 由 于 光 能 量 过 强 等 原因 无 法 通信 。 这 种 情 ; 
































10Gbit/s 





用 光 衰 减 器 (attenuator) 来 减弱 光 能 量 。 


光纤 线 缆 连 接头 





在 网 络 便 件 上 连接 光纤 线 绕 ， 需 要 使 用 配备 好 连接 头 的 光纤 。 使 用 的 连 
接头 需要 符合 板 载 (安装 在 网 络 人 硬件 中 )〉 的 光 接 口 或 光电 信和 号 转换 口 的 


形状 ( 表 1-57) 。 
表 1-57 光纤 线 缆 连 接头 种 类 


NTIT 开 发 的 方形 连 
接头 ， 由 发 送 
(TX) 与 接收 
(RX) 两 个 必 备 连 
接头 组 成 。SC 是 
Square-shaped 
Connector 的 缩写 。 





9C 


ST 


这 种 接头 还 分 为 只 


有 一 个 接口 的 单 工 2 


连接 头 〈simplex) 








sa 的 双 有 一 
工 连接 > ~ 
Cduplex) 。 符 合 一 < 


JIS C5973 标 准 ， 可 


以 与 板 载 光 纤 接 口 | LEE 间 > . 
le ge simplex 


Bo 





duplex 


ST (Straight Tip 
connector) 连接 头 
为 明 讯 公司 〈 现 为 
阿尔 卡特 一 朗讯 公 
司 ) 的 注册 商标 


10.3 





工 C 


FC 是 Fiber 





Connector 的 缩写 。 
符合 JIS C5970 标 准 





458.6 


中 1:25 


朗讯 公司 开发 的 连 
接头 ，LC 是 Local 
Connector 的 缩写 。 
可 连接 板 载 光纤 接 
口 (100BASE-X) 
或 SFP (mini- 
GIBC) 





MTRJ (MT- 
RJ) 


与 其 他 连接 头 不 
同 ， 它 是 将 TX【〈 人 发 
送 ) 与 RX (接收 ) 
收拢 在 单个 小 连接 
关中 ， 这 样 就 可 以 
在 很 小 的 面积 里 容 
纳 数 量 众多 的 接 
口 。MTRJ 是 
Mechanically 
Transferrableferrule- 
Registered Jack style 
Connector 的 缩写 。 
可 连接 板 载 接口 或 
SFP 使 用 
































MU 


由 NTT 开发 的 连接 
头 ， 体 积 很 小 ， 
此 在 1 个 路 由 器 或 
者 传输 装置 中 能 

容纳 多 个 接口 。 符 
合 JIS C5983 标准 





01.05.04 ”机 架 


为 了 能 高 效 利用 空间 ， 同 时 安装 多 个 网 络 硬 件 而 使 用 的 机 架 (rack) 叫 
做 19 英寸 机 架 ， 该 名 称 来 自 于 安装 人 硬件 的 面板 宽度 ， 即 机 架 两 根 支柱 
的 间距 为 19 英寸 。 而 且 机 架 的 规格 在 TIA/EIA-310-D 与 JIS C 6010-2 
中 也 完成 了 标准 化 工作 2 ( 表 1-58) 。 市 场 上 销售 的 19 英寸 机 架 分 为 
i 
注意 区 别 。 

















23 一 般 EIA 属于 国际 标准 范畴 ， 而 JIS 属于 日 本 国家 标准 范畴 。 一 一 译 者 注 























表 1-58 机 架 的 规格 与 尺寸 
| | NAD (IA | NS C6003 CIS 村 兴 ) | 


a 的 482.6+0.4mm 480+1mm 
抑 皮 
EE 


单元 | 书 
机 框 | 高 


旧 


综 一 - YY 
统 井 距 ; 15.875mm、15.875mm、 50mm 间隔 《实际 产品 中 以 
重复 长 度 12.7mm ee 

宽 螺 距 : 31.75mm、 重 复 长 度 12.7mm 


中 沁 
国 
二 





VR 


泣 蒜 
渴 比 
雪 

















RD rr 
IT 江上 
下 
本 














FU A 
下 








表 1-59 摄 津 金属 工业 公司 制造 的 NFC 系列 : 规格 式样 与 特征 (各 尺 
寸 如 图 1-45、1-46 所 示 ) 





EIA 标准 “|600~800nm |1000~2200nm |19U~46U 600~1100nm 


高 端 铝 制 机 加 


4 | e 铝 制 外 框 ， 轻 量 量 的 高 端 19 贡 二 网络 硬件 机 如 
e 充 分 文 持 设备 尺寸 以 及 规格 的 多 样 化 














e19 英 十 硬件 安装 面板 支架 与 机 架 支 柱 分 离 ， 能 够 在 一 定 
范围 内 移动 后 固定 

e 可 以 在 机 架 底 部 以 及 机 架 上 部 安装 另外 销售 的 风扇 模 
块 ， 使 得 机 架 整 体 可 以 强制 排 气 散热 























图 1-45 ”机 架 尺 寸 





图 1-46 19 英寸 机 架 的 硬件 安装 
19 英寸 机 架 上 自身 的 宽度 一 般 为 60~70cm。 


除了 小 型 路 由 器 或 交换 机 ， 几 乎 所 有 的 网 络 硬件 都 可 以 放 进 19 英寸 机 
架 之 中 ， 设 备 的 高 度 也 可 以 是 从 1U (Unit，1U=44.45mm=1.75inch) 到 
数 倍 的 U (1U、2U、30U.……) 不 等 (一 般 1U 也 可 记 为 1RU， 表 示 
Rack Unit 的 意思 ) 。 如 果 是 3U 以 上 的 大 型 硬件 ， 在 设备 前 部 的 左右 两 
侧 ， 还 会 配备 用 于 机 架 固 定 (Rack Mount) 的 金属 支架 ( 称 为 bracket, 
俗称 机 架 耳 ) ， 算 上 该 部 件 的 后 ， 整 个 设备 的 宽度 可 以 达到 482mm。 








和 


前 部 主 螺丝 
图 1-47 金属 支架 


大 小 在 2U 以 下 的 设备 可 能 会 经 第 需 要 将 金属 文 架 取 下 ， 和 设备 安装 在 
一 起 。 取 下 金属 支架 后 ， 整 个 硬件 的 宽度 会 变 为 440mm 左右 。 

虽然 没有 有 具体 规定 硬件 的 深度 标准 ， 但 考虑 到 某 些 限制 高 度 的 高 端 设 备 
nn 
到 机 加 上 。 


EIA 标 准 JIS 标 准 [单位 : mm ] 


















4J SJ 
H= H= 
199 249 


JIS 标 准 
iU 2U 3U 4U 5 
H= H= H= H= Hs= 零件 螺 距 


43.7 88.1 132.6 177.0 2215 





| OPN009m9nm99, 


图 1-48 机 架 安装 螺 距 

减轻 噪声 

机 架 式 网 络 硬 件 的 散热 风扇 会 发 出 噪声 。 虽 然 这 类 机 架 和 设备 一 般 都 会 
放 在 配 有 空调 的 机 房 中 ， 但 有 时 也 会 有 放置 在 办 公 室 工作 区 域 的 需求 ， 
因此 需要 选择 可 以 降低 噪声 的 设备 机 架 。 

散热 管理 

当 机 架 上 硬件 的 密度 增加 时 ， 热 量 也 会 大 幅 增 加 ， 特 别 是 正面 有 密封 机 
箱 门 的 设备 。 由 于 热量 有 累积 效应 ， 因 此 需要 配备 机 架 专 用 的 冷却 风 

局 ， 或 者 在 房 则 的 顶部 、 前 部 或 后 部 安装 散热 的 通风 口 。 

机 架 安 装 部 件 


在 网 络 人 硬件 中 会 配备 称 为 机 架 安 装 部 件 的 小 工具 套件 ， 用 于 将 设备 安装 
到 19 英寸 机 架 上 。 


2U 以 内 的 硬件 一 般 只 有 前 部 安装 文 染 ， 而 对 于 那些 较 深 的 硬件 则 会 配 
备 轨道 式 零 部 件 (安装 导轨 ， 如 图 1-49 所 示 ) 。 

















图 1-49 轨道 式 机 架 安 装 部 件 

如 有 果 人 硬件 没 有 配套 的 机 架 安 装 部 件 或 者 由 于 螺 帽 口 、 尺 寸 的 关系 无 法 在 
19 英寸 机 架 上 安装 时 ， 也 可 以 选择 购买 设备 对 应 的 金属 隔 板 “图 1-50 
所 示 ) ， 将 设备 放 在 上 面 即 可 。 





图 1-50 金属 隔 板 


桌面 式 设备 可 以 使 用 如 图 1-51 所 示 的 面板 式 机 染 部 件 进 行 安 装 ， 面 板 
部 件 需 男 外 购买 。 





图 1-51 YAMAHA 机 架 安 装 部 件 YRK-1500 


和 大 大 


第 2 草 彻 捕 理解 L2 交换 机 


本 章 将 介绍 交换 机 的 历史 、 类 型 、 功 能 和 架构 。 确 认 交 换 机 设备 的 
主要 产品 ， 并 进一步 理解 交换 容量 以 及 非 阻塞 性 能 的 设计 方法 。 
介 


站 绍 网 络 管理 协议 SNMP 和 用 于 网 络 信息 统计 的 Netflow 软件 。 


02.01 中 继 器 和 网 桥 的 不 同 点 


数据 链 路 层 〈OSI 参考 模型 ) 中 多 个 网 段 互 联 的 功能 实体 称 为 桥 或 网 
桥 。 通 过 网 桥 进行 的 数据 发 送 则 称 为 桥接 过 程 。 


02.01.01 什么 是 中 继 器 


中 继 器 (repeater) 是 一 种 信号 增强 装置 ， 在 OSI 参考 模型 的 第 1 层 上 

运行 。 第 1 层 是 物理 层 ， 它 的 功能 仪 仪 是 将 被 噪声 影响 的 信号 重新 输 

出 ， 不 再 进行 额外 的 数据 控制 。 由 于 物理 层 只 是 定义 了 网 络 的 电气 、 机 
械 、 规 程 、 功 能 等 标准 ， 因 此 中 继 需 无 法 辨别 数据 链 路 层 的 MAC 地 址 
以 及 网 络 层 的 IP 地 址 。 





一 





图 2-1 思科 公司 使 用 的 中 继 器 图 标 
02.01.02 ”什么 是 网 桥 
通过 两 个 接口 连接 两 个 冲突 域 工 的 装置 称 为 网 桥 。 网 桥 的 作用 相当 于 


OSI 模型 中 的 数据 链 路 层 。 网 桥 的 种 类 如 表 2-1 所 示 ， 目 前 使 用 的 几乎 
人 





共 译 式 集线器 形成 的 网 段 称 为 冲突 域 。 





[| 
请 














图 2-2 思科 公司 使 用 的 网 桥 图 标 
表 2-1 网 桥 的 种 类 


源 路 由 网 桥 路 径 搜 索 

(Source Route | 分 组 ， 找 

Bridging ) 到 所 有 可 
达 


透明 网 桥 
在 20 世 纪 
80 年 代 初 
期 由 DEC 
公司 开 
发 ， 之 后 
在 IEEE 
802.1 完 成 
标准 化 ， 
也 可 称 为 
学 习 型 网 
桥 





透明 网 桥 
(Transparent 
Bridging) 














源 路 由 透明 网 
桥 
(Source-route 
Transparent 





(learning 
bridge) 。 
能 够 将 以 
太 网 同 以 
太 网 、 

FDDI 同 

FDDI 这 类 
具有 相同 
访问 控制 


段 进 行 桥 
接 的 闭 置 
称 为 透明 
网 桥 。 因 
此 以 太 网 
的 交换 机 
在 某 种 意 
义 上 也 可 
以 说 是 拥 
有 多 个 透 
明 网 桥 的 
设备 。 它 
能 够 根据 
通信 数据 
帧 的 发 送 
方 地 址 ， 

判断 将 数 
据 发 送 到 
哪 一 网 段 
哪 一 地 址 
的 主机 

| 并 调 
但 该 主机 
是 否 存在 






































简称 为 








与 透明 网 
桥 集 成 于 





以 太 网 


以 太 网 


Bridging ) 


转换 网 桥 


(Translational 


Bridging) 


同一 网 
络 。 该 装 
置 应 用 于 
令 牌 环 网 
络 





将 以 太 网 
与 令 牌 
环 、 以 太 
网 与 FEDDI 
等 异 构 网 
络 在 MAC 
层 子 层 的 
LAN 传 输 
媒介 层面 
进行 桥接 
的 装置 。 
在 以 太 网 
与 令 牌 环 
中 也 可 以 
称 为 源 路 
由 转换 网 
桥 








在 路 由 器 
内 将 使 用 
不 同 传输 
媒介 的 以 
太 网 帧 格 
式 进行 桥 
接 的 装 
置 。 比 如 
使 用 FDDI 
网 络 时 ， 





以 太 网 


以 太 网 





令 牌 环 


FD 


封装 网 桥 在 发 送 方 
(Encapsulation | 网 桥 中 会 
Bridging ) 将 以 太 网 


数据 帧 。 
而 在 接收 WAN 


中 , 会 从 | 以 太 网 以 太 网 





02.01.03 ”共享 式 集线器 


集线器 (hub) 是 指 集中 器 设备 (concentrator) 。 融 有 中 继 器 功能 的 集 

线 堪 也 可 以 称 为 共享 式 集线器 、 多 端口 中 继 堪 、 中 继 集线器 等 。 在 网 络 

集 线 占 一 般 是 指 共享 式 集线器 ， 但 目前 市 场 上 销售 的 集线器 产 
一 般 都 是 指 交 换 式 集线器 。 


集线器 中 连接 线 统 RJ-45 模块 接口 的 部 分 称 为 端口 ， 根 据 集 线 右 大 小 的 
不 同 ， 端 口 可 以 分 为 4、8、12、16、24 等 多 种 类 型 。 集 线 器 一 般 可 以 
独立 配置 使 用 ， 因 此 形态 多 样 。 有 的 产品 可 以 插 到 个 人 计算 机 中 (电源 
由 个 人 计算 机 提供 ) ， 有 的 产品 可 以 安装 到 机 架 上 ， 还 有 的 产品 可 以 堆 
登 〈stackable) 在 一 起 工作 ， 只 是 目前 这 些 产品 在 市 场 上 已 不 多 见 。 














A 





图 2-3 思科 公司 使 用 的 共享 式 集线器 图 标 
在 最 初 的 以 太 网 (IEEE 802.3) 标准 10BASE5 中 ， 采 用 了 如 图 2-4 所 示 


的 粗 同 轴 电 缆 〈 黄 色 线 缆 ) 作为 传输 媒介 ， 通 过 在 接口 处 插入 连接 着 各 
终端 的 转换 器 ， 形 成 一 个 总 线 型 的 拓扑 结构 ， 在 一 根 线 缆 上 共享 
10Mbits 的 带宽 。 


自从 使 用 双 绞 线 ( 以 太 网 线 统 ) 的 以 太 网 标准 10BASE-T 颁布 之 后 ， 各 
终端 与 共享 式 集线器 之 间 都 开始 使 用 单独 的 接口 进行 连接 ， 这 样 就 形成 
了 一 个 星星 的 拓扑 结构 ， 但 是 同样 能 够 形成 一 个 与 10BASE5 相同 的 共 
享 带宽 的 LAN 网 段 。 


在 共享 带宽 的 情况 下 ， 网 络 的 每 一 个 终端 能 否 发 送 数据 将 采用 
CSMA/CD (Carrier Sense Multiple Access/Collision Detection ) 方式 来 决 
定 。 这 个 决定 方式 首先 判断 的 是 在 通信 和 链 路 上 有 没有 其 他 终端 节点 在 发 
送 数据 ， 也 束 是 通过 载波 侦 听 来 明确 通信 链 路 是 否 正在 使 用 。 如 果 通 信 
链 路 空闲， 则 开始 发 送 数据 。 如 果 发 现 通信 和 链 路 正在 使 用 ， 则 需要 继续 
等 待 ， 因 此 通信 效率 很 低 。 甚 至 还 会 出 现 多 个 网 络 终端 节点 同时 发 送 数 
据 从 而 产生 冲突 〈collision ) 的 情况 。 整 个 网 络 中 共享 网 络 终端 的 数量 
越 多 ， 发 生 冲 突 的 概率 也 会 增加 。 














: 


je 一 最 长 500m ( 直到 100 个 节点 ) 一 一 >| 


图 2-4 10BASE5 的 结构 


个 人 计算 机 





图 2-5 使 用 10BASE5 的 转换 器 进行 连接 

02.01.04 ”交换 式 集线器 

交换 式 集 线 器 “是 指 将 连接 着 两 台 通 信 终 端的 两 个 端口 在 装置 内 部 绑 
定 ， 使 其 他 端口 的 信号 无 法 介入 ， 从 而 防止 发 生 冲 突 ， 弥 补 了 共享 式 集 
线 器 的 不 足 。 一 般 人 们 所 说 的 交换 机 ?或 上 2 交换 机 均 指 拥有 多 个 透明 
网 桥 的 装置 。 


| 根据 上 下 文 ， 这 里 的 交换 式 集线器 为 实际 意义 上 的 交换 机 。 一 一 译 者 注 





| 
注 


在 共 孕 式 集 线 堪 中 ， 从 发 送 方 接收 到 的 数据 会 下 接 转发 到 所 有 非 发 送 方 
端口 ， 也 就 是 单纯 地 通过 复制 电气 信号 来 实现 发 送 。 


但 是 交换 式 集线器 则 通过 学 习 连 接 的 每 个 网 络 终端 的 MAC 地址 ， 将 数 
据 仅 发 送 到 发 送 方 所 期 望 的 目的 终端 上 去 ， 避 免 了 将 数据 发 送 到 无 关 端 
口 ， 从 而 提高 了 网 络 利用 率 。 





如 果 在 学 习 MAC 地 址 前 遇 到 发 送 目的 地 不 明 ， 或 者 想 与 网 段 内 所 有 终 
端 进行 通信 的 情况 时 ， 交 换 式 集 线 喜 将 采用 “广播 ”方式 ， 像 共 孚 了 式 集 线 
需 那 样 ， 将 数据 帧 转发 到 所 有 非 发 送 方 端 口 。 











图 2-6 思科 公司 使 用 的 交换 机 图 标 
02.01.05 学习 MAC 地址 
交换 机 通过 确认 以 太 网 数据 帧 的 发 送 源 MAC 地 址 ， 习 得 交换 机 端口 号 


和 该 端口 所 连 硬 件 MAC 地 址 的 配对 信息 ， 并 将 该 信息 记录 到 其 内 部 的 
MAC 地 址 表 中 (图 2-7) 。 












端口 1 


00:18:23:33;11:11 





00:1a:23:33:11:11 00:1a:23:33:11:22 00:1a:23:33:11:33 00:1a:23:33:11:44 


@ 当主 机 A 与 主机 D 通信 时 ， 主 机 A 先 发 送 MAC 数据 帧 ， 该 数据 帧 中 包含 发 送 源 主机 A 的 
MAC 地 址 和 发 送 目的 主机 D 的 MAC 地址 。 交 换 机 从 端口 1 处 接收 到 发 送 源 MAC 地 址 为 
00:1a:23:33:11:11 的 数据 帧 后 ， 得 到 了 “端口 1 上 插 着 的 MAC 地 址 为 00:1a:23:33:11:11” 的 信 
息 ， 从 而 习 得 主机 A 的 MAC 地址 。 随 后 ， 交 换 机 将 习 得 主机 A 的 MAC 地 址 注册 到 内 部 的 
MAC 地 址 表 中 。 

四 这 时 ， 交 换 机 尚 不 知道 发 送 目的 主机 的 MAC 地 址 00:1a:23:33:11:44 位 于 何 处 ， 因 此 会 将 该 
数据 帧 转发 到 除 端 口 1 之 外 的 所 有 端口 上 去 。 交 换 机 的 这 一 行为 称 作 flooding。 











端口 1 
00:1a:23:33:11:11 
端口 4 
00:1a:23:33;11:44 





00:1a:23:33:11:11 00:1a:23:33:11:22 00:1a:23:33:11:33 00:18:23:33:11:44 





@ 这 时 ， 主 机 B 和 主机 C 虽然 收 到 了 目的 地 MAC 地 址 为 00:1a:23:33:11:44 的 数据 帧 ， 但 由 于 
自身 并 非 该 目的 地 址 ， 便 丢弃 该 帧 ， 只 有 主机 D 会 接收 该 数据 帧 。 

@ 主 机 DD 会 向 主机 A 发 送 应 答 数据 帧 ， 应 答 数 据 帧 中 包括 了 发 送 源 的 MAC 地 址 
00:1a:23:33:11:44。 这 时 ， 交 换 机 便 可 得 知 端口 4 上 连 着 MAC 地 址 为 00:1a:23:33:11:44 的 设 
备 ， 并 将 该 信息 记录 到 内 部 的 MAC 地 址 表 中 。 

@ 至此， 交换 机 习 得 了 主机 A 和 主机 DD 的 MAC 地 址 信息 ， 随 后 的 通信 也 不 会 再 有 flooding。 
对 于 交换 机 而 言 ， 同 样 也 可 以 从 和 主机 B、 主 机 C 之 间 的 通信 习 得 它们 的 MAC 地 址 。 



































图 2-7 学 习 MAC 地 址 


如 果 MAC 地 址 表 的 记录 项 (包含 端口 号 和 MAC 地 址 的 配对 信息 ) 一 
直 保 留 ， 当 连接 端口 的 设备 发 生变 化 时 ， 就 会 出 现实 际 情况 和 表 项 无 法 
对 应 的 情况 。 因 此 需要 给 MAC 地 址 表 的 记录 项 设置 一 个 超时 值 ， 该 项 
超时 值 也 可 以 称 为 MAC 地 址 的 老化 时 间 (aging time) 。 在 思科 公司 的 
Catalyst 交换 机 中 该 项 数值 默认 为 5 分钟， 并 且 可 以 通过 配置 进行 更 
改 。 交 换 机 设备 会 根据 该 值 对 习 得 的 MAC 地 址 表 中 的 纪录 项 进行 老化 
消去 〈aging) 操作 ， 被 消去 的 纪录 项 会 显示 为 aging out。 


管理 员 还 能 通过 使 用 命令 行 静态 地 对 MAC 地 址 表 中 添加 表 项 ， 这 时 交 
换 机 的 老化 消去 将 会 失效 。 


02.01.06 ”使 用 交换 机 的 优点 


用 户 从 集线器 〈 共 享 式 集线器 ) 同 交 换 机 【交换 式 集线器 ) 迁移 ， 会 有 
表 2-2 所 示 的 优点 。 








表 2-2 使 用 交换 机 的 优点 


冲突 域 固定 


彻底 的 全 双 
工 通信 























在 主机 《个 人 计算 机 等 ) 直接 连接 到 交换 机 时 ， 冲 突 域 只 会 在 交换 机 





端口 和 主机 之 间 形 成 。 




















冲突 域 中 不 存在 其 他 主机 ， 使 主机 能 够 同时 完成 友 送 和 接收 工作 。 


























存储 转发 型 (02.03 节 ) 交换 机 能 够 检查 接收 到 的 数据 帧 是 否 有 
并 及 时 丢弃 有 错误 的 数据 帧 。 











发 送 和 接收 工作 在 两 个 交换 机 端口 之 间 分 别 进行 ， 使 每 个 端口 的 带 
都 可 以 有 效 利 用 。 





顺 


市 郊 





02.02 ”交换 机 是 如 何 诞生 的 
02.02.01 ”以太 网 的 历史 


1973 年 5 月 ， 美 国 施 乐 公司 的 罗伯特 : 梅 特 卡 夫 (Robert M. Metcalfe ) 
博士 开发 了 以 太 网 ‘(Ethernet) 4 。 该 词 来 自 于 19 世纪 人 们 假想 的 一 种 
让 电磁 波 和 光 的 物质 以 太 (ether) 以 及 网 络 (network) 两 个 名 
字 的 组 合 。 


4 当时 ， 梅 特 卡 夫 博 士 给 他 的 老板 写 了 一 篇 关于 以 太 网 潜力 的 备忘录 。 此 时 以 太 网 尚 处 于 实验 
的 初步 阶段 ， 尚 无 成 型 的 产品 。 译 者 注 





























梅 特 卡 夫 博 士 是 最 早 开发 出 个 人 计算 机 的 PARC” (Palo Alto Research 
Center， 帕 罗 奥 多 研究 中 心 ) 的 研究 员 。 当 时 的 施乐 公司 正在 开发 世界 
上 最 早 的 激光 打印 机 ， 打 算 将 该 研究 中 心 内 所 有 的 计算 机 都 连接 到 打印 
机 上 ， 因 此 将 网 络 系统 的 架构 工作 交 给 了 梅 特 卡 夫 博 士 。 


5 该 机 构 为 IT 史上 最 著名 的 研究 室 之 一 ， 研 究 成 果 众 多 ， 据 称 “美国 最 优秀 的 100 位 电脑 科学 
家 里， 有 76 位 在 昨 克 工作 过 "， 只 可 民众 多 技术 没 能 税 其 母 公司 施乐 公司 转化 为 市 场 成 时。 
















































































控制 当时 最 先进 的 高 速 激 光 打 印 机 需要 有 足够 快 的 网 速 做 保障 ， 而 且 还 
要 在 同一 贱 大 楼 内 HD 计算 机 ， 这 就 需要 梅 特 卡 夫 博 士 设 计 出 前 
所 未 有 的 网 络 架构 。 最 终 ， 梅 特 卡 夫 在 该 网 络 中 使 用 的 是 

CSMA (Carrier Sense Multiple Access， 载 波 侦 听 多 路 访问 ) 技术 。 


梅 特 卡 夫 博 士 曾 经 参与 过 美国 国防 部 高 级 研究 计划 署 的 阿 帕 网 

(ARPANET) 和 夏威夷 大 学 的 ALOHA 网 的 设计 工作 。ALOHA 网 采 
用 了 无 线 通信 技术 ， 用 于 满足 夏威夷 群岛 间 的 通信 需求 ， 与 现在 的 
LAN 通信 类 似 ， 也 采用 了 CSMA 技术 。 。 

















6 ALOHA 网 计划 始 于 1968 年 ， 早 于 20 世纪 70 年 代 的 1G 移动 通信 技术 和 20 世纪 80 年 代 的 
2G 通信 技术 ， 堪 称 现代 最 早 的 计算 机 无 线 通信 网 络 。 一 -一 译 者 注 


为 了 让 使 用 相同 通信 线路 连接 的 多 全 计算机 设备 能 够 目 由 地 发 送 数据 ， 
CSMA 技术 中 设计 了 当 遇 到 通信 冲突 时 ， 能 够 检测 该 冲突 并 再 次 用 送 的 
机 制 。ALOHA 网 使 用 了 无 线 电磁 波 作 为 通 和信 的 传输 媒介 ， 而 以 太 网 则 








采用 了 更 为 高 速 的 同 轴 电 线 作 为 传输 媒介 ， 并 配 以 用 来 完成 高 速 通信 的 
网 络 接口 。 


1976 年 ， 当 以 从 网 产品 最 终 完 成 时 ， 其 传输 速率 为 2.94Mbit/s， 使 用 了 
J 的 线 缆 将 100 台 以 上 的 终 中 另外 ， ae 
速率 达到 150Mbit/s 的 高 速 通信 等 以 太 网 技术 也 通过 不 断 实 验 


完 千 





在 此 之 后 ，DEC 公司 、Intel 公司 以 及 施乐 公司 在 1979 年 共同 制定 了 当 
时 最 为 经 济 实惠 的 、 传 输 速率 为 10Mbits 的 DIX 以 太 网 标准 (DIX 是 
DEC、Intel、Xerox 的 首 字母 的 组 合 ) 。 这 项 DIX 标准 的 标准 化 文 

件 “Ethemet 标准 1.0” 在 1982 年 召开 的 IEEE 802 委员 会 会 议 上 正式 发 布 




















“这 表明 DIX 标准 不 再 是 原来 的 企业 联盟 标准 ， 而 是 正式 成 为 了 IEEE 标准 。 译 者 注 



































目前 ， 广 泛 普 及 的 以 太 网 标准 是 基于 此 后 的 “Ethernet 标准 2.0”* 确 定 的 
(同样 于 1982 年 由 IEEE 发 布 ) ， 而 CSMA/CD 则 在 1983 年 的 
IEEE802.3 中 完成 了 标准 化 。 


随后 ， 从 传输 速度 为 10Mbit/s 开始 ， 不 断 出 现 了 100Mbit/s、1Gbit/s、 
10Gpbs 等 速度 更 快 的 以 太 网 标准 ， 以 及 使 用 双 绞 线 、 0 
介 的 以 太 网 标准 ， 如 今 ， 标 准 的 更 新 仍然 是 日 新 月 异 


8 2013 年 4 月 ，400Gbits 以 太 网 技术 的 会 议 正 式 召 开 ， 可 以 预见 ， 不 久 的 将 来 就 会 出 现 该 速 
率 的 以 太 网 。 一 一 译 者 注 


02.02.02 ”世界 上 最 早 的 交换 机 


在 20 世纪 80 年 代 ， 很 多 企业 开始 察觉 到 使 用 共 至 式 集 线 避 构 成 的 
LAN 性 能 很 莽 ， 便 逐步 开始 使 用 能 够 分 割 冲 突 域 的 以 太 网 网 桥 设 备 。 
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图 2-8 世界 上 最 早 的 EtherSwitch 


1990 年 ，Kalpana 公司 ”发售 了 世界 上 首 台 交 换 机 产品 EtherSwitch (图 
2-8) 。 在 此 之 前 ， 普 通 存 储 转 发 型 的 网 桥 装 置 只 有 两 个 端口 ， 而 
EtherSwitch 拥有 7 个 端口 。 在 此 之 后 ， 拥 有 多 个 端口 的 以 太 网 交换 机 这 
个 概念 开始 被 人 们 接受 。 由 于 当时 的 EtherSwitch 没有 实现 IEEE 规定 的 
相关 标准 ， 不 能 称 之 为 网 桥 ， 所 以 使 用 了 交换 机 (Switch) 一 词 。 


9 该 公司 创始 人 中 有 一 位 是 印度 裔 ， 公 司 同样 在 IT 圣地 硅谷 成 立 。 一 一 译 者 注 

















Kalpana 随后 还 开发 了 EtherChannel 产品 ， 于 1994 年 被 思科 公司 收购 。 
20 世纪 90 年 代 ， 随 着 IC 技术 的 医 劲 发 展 ， 网 桥 制造 商 开 始 将 运行 于 
CPU 的 L2 传输 控制 从 软件 程序 逐步 移 到 ASIC 和 FPGA 上 。 这 类 技术 
使 网 桥 内 部 分 组 处 理 的 通信 时 延 (latency〉 降 到 了 10 微妙 左右 ， 而 且 
可 以 在 性 能 无 损 的 前 提 下 桥接 多 个 端口 。 这 时 ， 以 太 网 交换 机 开始 作为 
网 络 技术 术语 逐步 推广 开 来 。 

表 2-3 ”交换 机 的 历史 信息 汇总 也 


10 该 表 没 有 列 出 全 部 业内 有 名 的 交换 机 产品 ， 包 括 中 国 的 华为 、 中 兴 以 及 法 国 阿 尔 卡 特 、 瑞 
典 爱 立信 、 加 拿 大 北 电 等 公司 的 产品 。 译 者 注 
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二 动 
1972 | ALOHA 网 开始 架构 建设 国 国 
1973 | 罗伯特 : 梅 尔 卡特 博士 命名 的 Ethernet 一 词 正 式 出 现 | 


IEEE 成 立 了 Project 802 











1980 |DIX 以 太 网 发 布 工作 组 ， 旨 在 促进 LAN 
标准 化 











1999 





TCP/IP 标 准 














IEEE802.3 (10BASES5) 








SynOpticsl 公司 发 售 10BASE-T 的 原型 产品 LattisNet 


CERN 开发 WWW 
美国 Ungermann-Bass 公 司 了 3 发 售 世界 上 第 一 台 机 框 
式 集线器 Access/One 


IEEE 
802.3a (10BASE?2) 











Kalpana 公 司 发 布 世 界 上 第 一 台 以 太 网 交换 机 IEEE 802.3i (10BASE- 
EtherSwitch 























思科 公司 收购 Crescendo 通 信 公 司 ， 产 品 线 整合 为 思 
科 的 Catalyst 5000 系 列 














Bay Networks 公 司 发 售 搭载 VYLAN 功 能 的 以 太 网 交换 
机 产品 

思科 公司 收购 Kalpana 公 司 ， 产 品 线 整 合 为 思科 的 
Catalyst 3000 系 列 











思科 公司 收购 Grand Junction Networks 公 司 ， 产 品 线 
整合 为 思科 的 Catalyst 1900/2800 系 列 





Foundry Networks 公 司 创立 
Extreme Networks 公 司 创 立 


L3 交 换 机 研发 成 功 


802.3z (1000BASE-X) 





IEEE 
思科 公司 发 售 Catalyst 6500 系 列 产品 802.3ab (1000BASE- 





IEEE 

802.3ae (10GBASE-SR 
等》 

IEEE802.3af (Power 
over Ethernet) 








日 立 电线 公司 发 售 以 太 网 交换 机 产品 Apresia 
日 立 制 作 所 和 日 本 电气 合资 的 ALAXALA Networks 
公司 成 立 ， 发 售 主干 交换 机 产品 AX 系 列 

















IEEE 
802.3an (10GBASE-T) 

















专科 通信 系统 公司 (Brocade Communications 
Systems) 收购 Foundry Networks 公司 ，Juniper 公司 
发 售 以 太 网 交换 机 “EX 系列 ” 





IEEE 
802.3ba (40G/100G 以 
太 网 ) 











1 该 公司 创始 人 同样 出 身 于 PARC， 之 后 转战 多 家 最 终 任职 于 现在 的 亚 美 亚 公司 (Avaya) 。 
一 一 译 者 注 





2 即 欧洲 原子 能 中 心 。 一 一 译 者 注 














2 该 公司 同样 几经 转手 后 ， 最 终 属于 阿尔 卡特 朗讯 公司 。 一 一 译 者 注 








02.03 ”交换 机 中 使 用 的 数据 帧 及 其 传输 方式 


02.03.01 ”以 太 网 数据 帧 的 种 类 
交换 机 中 使 用 的 以 太 网 数据 帧 类 型 如 表 2-4 所 示 。 
表 2-4 以 太 网 使 用 的 数据 帧 类 型 


单 播 数据 帧 《Unicast | 发 送 目的 地 地 址 为 广播 或 多 播 以 外 的 数据 帧 


frame) 








广播 数据 帧 发 送 目的 地 为 广播 地 址 (FF:FF:FF:FEF:FF:FF) 的 数据 帧 


(Broadcast frame ) 

















多 播 数据 帧 发 送 目 的 地 为 多 播 地 址 的 数据 帧 。 具 有 代表 性 的 多 播 地 址 为 
(Multicast frame ) 01-00-5E-xx-xxxx (其 中 x 为 任意 数字 ) 














不 完全 帧 (Runt 包含 首部 信息 、 长 度 为 63 字 节 以 下 的 数据 帧 。 交 换 机 将 这 类 
frame) 数据 帧 识别 为 由 于 冲突 等 原因 而 形成 的 坏 帧 








小 巨人 巾 (Baby 比 通常 MTU 规定 的 1518 字 节 稍 大 的 数据 帧 ， 在 IEEE802.11Q 
Giant frame) 的 TRUNK 中 是 指 1522 字 节 的 数据 帧 

















巨型 帧 〈Jumbo frame 


比 通常 MTU 规定 的 1518 字 节 大 很 多 的 数据 帧 
或 Giant frame) 





02.03.02 ”交换 机 数据 帧 的 传输 方式 


交换 机 从 接收 以 太 网 数据 帧 到 发 送 新 的 以 太 网 数据 帧 ， 这 之 间 会 有 三 种 
处 理 方 法 ， 即 直通 转发 〈cut through) 、 评 片 隔离 (fragment free) 和 存 
储 转 发 (stored-forward) 。 


交换 机 产品 出 现在 市 场 之 前 ， 业 内 主要 流行 的 是 一 种 使 用 软件 处 理 存储 
转发 的 网 桥 装 置 。 由 于 处 理 时 间 和 通信 时 延 太 长 ， 于 是 又 引入 了 直通 转 
发 的 处 理 方式 。 直 通 转 发 处 理 虽然 时 延 很 短 ， 但 是 也 有 无 法 丢弃 错误 帧 
的 缺点 。 当 前 主流 的 交换 机 都 使 用 了 ASIC 和 FPGA 等 基于 硬件 的 高 速 
处 理 数 据 帧 ， 因 此 存储 转发 的 处 理 方式 越 来 越 多 。 


直通 转发 


在 直通 转发 交换 技术 中 ， 交 换 设 备 只 需 读 取 数据 帧 最 初 的 14 个 字 节 
(图 2-9) 即 可 将 数据 帧 发 送 至 目的 地 。 数 据 帧 按照 接收 顺序 依次 发 
送 ， 属 于 先进 先 出 (FIFO，First mm、First Out) 方式 。 在 10Mbit/s 以 太 
网 中 约 有 25 微 秒 的 通信 时 延 ， 而 在 快速 以 太 网 中 通信 时 延 只 有 7 微 
秒 。 尽 管 该 方式 采用 最 小 的 时 延 来 转发 数据 帧 ， 但 由 于 读 取 的 数据 量 固 
定 ， 通 信 的 发 送 方 与 接收 方 不 得 不 采用 一 致 的 速度 来 完成 数据 帧 的 发 送 
与 接收 。 这 会 导致 无 法 将 普通 以 太 网 桥接 到 不 同 速 率 的 快速 以 太 网 。 另 
外 由 于 接收 方 在 收 到 数据 帧 后 ， 仅 读 取 前 面 的 14 个 字 节 之 后 就 立刻 通 
过 通信 端口 发 送 了 ， 因 此 跳 过 了 读 取 以 太 网 数据 帧 尾部 (最 后 的 4 个 字 
节 ) 的 FCS 域 ， 从 而 无 法 检测 并 及 时 丢弃 发 生 CRC 校 验 错误 的 数据 
帧 。 不 过 虽然 无 法 立刻 丢弃 ， 但 是 当 最 后 读 取 到 某 数 据 帧 的 FCS 域 并 
检测 出 错误 后 ， 还 是 可 以 更 新 错误 帧 计数 器 的 。 

















读 取 到 这 里 为 止 一 > 





图 2-9 直通 转发 中 数据 帧 的 读 取 位 置 


虽然 直通 转发 交换 当前 几乎 很 少 使 用 ， 但 对 于 那些 在 通信 量 明 确 可 计 的 
网 络 中 使 用 ， 每 个 用 户 都 分 配 端口 通信 的 交换 机 来 说 ， 还 是 非常 推荐 使 
用 的 。 这 种 情况 时 ， 直 通 转发 也 可 以 同 后 文 会 提 到 的 目 适 应 交换 一 同 用 
用 。 


有 时 ， 直 通 转 发 还 可 以 和 生 片 隔离 交换 结合 使 用 ， 这 时 ， 仅 读 取 数据 帧 
前 14 个 字 节 的 方式 称 为 快速 转发 《Fast-forward) 方式 。 


碎片 隔离 


该 方式 也 称 为 修正 版 的 直通 转发 (Modified Cut-through) 。 


人 片 隔离 (Fragment-free) 交换 方式 如 图 2-10 所 示 ， 首 先 会 读 取 数据 帧 
的 前 64 个 字 节 ， 这 就 防止 了 冲突 时 转发 残 帧 (runt， 也 叫做 冲突 碎片 ， 
指 因 为 发 生 人 碰撞 而 出 现 的 小 于 63 字 节 的 废弃 帧 ) 的 情况 。 在 IEEE 
802.3 中 将 发 送 512bit 数据 所 需 的 时 间 称 为 一 个 时 际 (slot time， 传 输 速 
率 为 10Mbit/s 时 ， 时 际 为 51.2 微 秒 ) ， 每 个 时 际 都 可 以 发 送 数 据 ， 即 
将 数据 所 代表 的 电气 信号 发 送 至 通信 对 方 的 主机 上 。 每 发 送 512bit 的 数 
据 (64 个 字 节 ) 后 ， 如 果 没 有 冲突 就 表明 该 数据 帧 能 够 准确 无 误 地 到 
达 对 方 主机 上 。 接 收 方 在 收 到 数据 帧 后 ， 确 认 前 64 个 字 节 ， 即 可 知道 


转发 过 程 中 没有 发 生 冲 突 。 

Ea Ee 
8 字 节 6 字 节 4 字 节 

在 以 太 网 中 发 生 的 通信 错误 大 多 由 于 冲突 导致 ， 因 此 碎片 隔离 确实 能 够 


图 2-10 雁 片 隔离 交换 中 数据 帧 的 读 取 位 置 
回避 大 部 分 错误 。 但 该 方式 并 不 读 取 64bit 以 上 的 内 容 ， 这 使 得 当 数 据 
帧 出 现 CRC 错误 时 ， 只 能 按照 和 直通 转发 一 样 的 方式 处 理 数据 帧 。 


采用 碎片 隔离 方式 在 10Mbits 的 以 太 网 中 约 有 70 微 秒 的 通信 时 延 ， 在 
快速 以 太 网 中 的 通信 时 延 为 9 微 秒 。 


与 直通 转发 一 样 ， 雁 片 隔离 采用 先进 先 出 的 方式 处 理 数 据 帧 ， 通 信 速 率 
不 同 的 以 太 网 网 段 之 间 无 法 进行 桥接 ， 目 前 也 几乎 不 再 使 用 。 


存储 转发 


在 存储 转发 方式 中 ， 设 备 会 在 读 取 数据 帧 所 有 内 容 后 再 进行 转 及 。 这 样 
一 来 ， 该 方式 就 能 识别 出 残 帧 和 CRC 校 验 错误 帧 ， 并 将 它们 及 时 丢 

人 弃 。 男 外 ， 设 备 还 能 对 所 有 的 数据 帧 进行 缓存 操作 ， 因 此 使 用 该 方式 还 
能 够 完成 不 同 速率 以 太 网 段 的 桥接 工作 。 





读 取 到 这 里 为 止 一 上 








该 方式 的 通信 时 延 与 接收 的 数据 帧 尺寸 有 密切 关系 ， 需 要 另外 加 上 从 
65 微 秒 到 1.3 训 秒 之 间 不 等 的 通信 时 间 。 采 用 存储 转发 的 方式 在 
通信 时 延 大 约 是 7 微 秒 ， 而 快速 以 太 网 中 大 约 是 3 
微 秒 


表 2-5 中 总 结 了 各 数据 帧 交换 方式 。 
表 2-5 交换 机 中 数据 帧 的 交换 方式 比较 








短 只 丢弃 残 帧 


02.03.03 ” 自 适 应 交换 


根据 用 户 的 设置 ， 当 残 帧 和 CRC 错误 帧 的 数量 超过 一 定 阐 值 时 ， 能 够 
目 动 变更 为 其 他 传输 数 方式 的 方式 ， 叫 做 目 适 应 交换 或 自 适 应 直通 转发 


(adaptive Switching) 。 


使 用 该 方式 时 ， 通 币 采 用 直通 转发 传输 数据 帧 。 随 独 错 误 数 不 断 昧 加 ， 
设备 将 目 动 切换 为 存储 转发 传输 数据 帧 。 传 输 方式 改变 ， 错 误 帧 的 数量 
也 减少 后 ， 则 再 度 切 换 回 直通 转发 方式 。 目 适应 变换 这 些 动作 的 目的 是 
将 传输 的 错误 帧 数量 以 及 通信 时 延 降 到 最 低 。 














02.04 全 双 工 和 半 双 工 
网 络 通信 方式 的 种 类 如 表 2-6 所 示 。 
表 2-6 通信 的 种 类 


通信 的 种 类 
类 似 于 电视 、 广 播 中 电磁 波 信号 的 传输 ， 一 般 为 固定 发 送 方 ( 电 视 


单 工 通信 公 
Cimpleay 合 、 广播 站 与 加 定 接收 方 ( 挡 履 天 线 ) 之 问 的 通信 方式 ， 也 称 为 单 


























双 工 通信 通信 的 过 程 中 没有 明确 的 发 送 方 与 接收 方 ， 双 方 能 够 互 换 角色 的 通信 
(Duplex) 方式 


























重信 | 类似 于 无 线 对 讲 机 的 通信 方式 ， 通 信 的 一 方 在 说 话 时 (信号 发 送 
时 ) ， 男 一 方 不 能 说 话 





“| 美 伺 于 电话 的 通信 广 式 ， 通 信 的 一 方正 在 说 话 ， 另 一 方 也 可 以 说 话 














早期 的 以 太 网 (10BASE5 以 及 10BASE2) 采用 1 根 同 轴 电 绑 连 接 通信 

双方 ， 使 用 CSMA/CD 的 技术 进行 半 双 工 通 信 ， 但 有 时 会 发 生 冲 突 。 在 

10BASE-T 标准 中 ， 使 用 UTP 中 不 同 的 绞 线 对 来 发 送 与 接收 ， 这 使 得 
进行 全 双 工 通信 变 为 可 能 


目前 ， 几 乎 所 有 的 交换 机 均 配 备 了 10/100BASE-TX 和 
10/100/1000BASE-T 标准 的 接口 ， 也 束 是 说 ， 这 些 交 换 机 不 仅 可 以 进行 
全 双 工 通信 ， 而 且 还 支持 自 适应 功能 。 只 需 将 交换 机 的 双 工 通信 设置 项 
设 定 为 auto， 即 可 在 工作 中 通过 自 适 应 方式 自动 选择 最 佳 的 通信 种 类 。 
双 工 通信 设置 项 是 设置 交换 机 通信 方式 的 选项 ， 可 以 设置 为 半 双 工 通 信 
(half) 、 全 双 工 通 言 (ful1) 和 自动 检测 《auto) 中 任意 二 种 方式 、 














新 交换 机 在 与 只 4 文 持 半 双 工 通信 的 共享 式 集线器 和 早期 交换 机 进行 连接 
时 ， 需 要 将 网 络 接口 上 的 双 工 通信 设置 项 设置 为 half， 即 采用 半 双 工 通 
信 。 而 如 果 设 备 出 现 自身 支持 全 双 工 通信 ， 但 自 适 应 功能 无 法 正常 工作 
的 情况 ， 也 同样 需要 再 次 将 网 络 接口 上 的 双 工 通信 设置 项 设置 为 full 才 
行 。 图 2-11 展示 了 一 种 能 够 在 设备 前 方 的 LED 显示 上 确认 正在 采用 何 
种 双 工 方式 的 交换 机 产品 。 
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图 2-11 LED 的 显示 会 根据 通信 速率 发 生变 化 的 交换 机 示例 (Buffalo 
公司 的 LSW3-GT-NSR 交换 机 ) 





绿灯 亮 ， 建 立 连 





接 

二 、 | LinkActive 指 示 灯 ， 用 来 表示 端口 的 连接 | 绿灯 闪烁 : 收发 
LINK/IACT 绿色) | 状态 和 收发 状态 数据 

灯 灭 ， 没有 建立 


连接 














人 拖 Ea 
ee 速率 指示 灯 ， 表 示 数 据 传输 速率 











灯 闪 烁 : 检测 环 
路 中 


Loop 检 测 环 路 检测 指示 灯 ， 用 来 通知 检测 环 路 














交换 机 之 间或 交换 机 与 主机 之 间 会 出 现 应 答 延 迟 或 吞吐 率 低 下 的 情况 ， 
这 有 可 能 是 通信 双方 的 端口 速率 或 双 工 方式 不 一 致 造成 的 。 比 如 ， 通 信 





的 一 方 将 双 工 通信 设置 项 设置 成 了 auto， 而 另 一 方 却 设置 成 了 其 他 选 
项 。 在 遇 到 这 类 情况 时 ， 观 察 网 络 接口 的 统计 信息 ， 会 发 现 残 帧 数量 或 
IO 错误 数量 明显 上 升 。 


MDI-X 


个 人 计算 机 和 路 由 器 的 接口 称 为 MDI (Media Dependent Interface， 媒 介 
相关 接口 ) ， 交 换 机 和 集线器 上 的 接口 则 称 为 MDI-X (Media 
Dependent Interface Crossover， 交 叉 媒 介 相 关 接 口 ) 。MDI 与 MDI-X 接 
口 连接 时 ， 需 要 使 用 直通 线 绕 。MDI 之 间 相 互 连 接 或 MDI-X 之 间 相 互 
连接 时 则 需要 使 用 交叉 线 缆 。 


目前 使 用 的 交换 机 或 集线器 均 带 有 自动 识别 MDI 与 MDI-X， 并 切换 不 
同 电气 信号 的 功能 ， 该 功能 称 为 Auto-MDIX (Automatic Medium- 
Dependent Interface Crossover， 自 适应 网 线 类 型 ) 功 能。 


多 数 个 人 计算 机 的 网 络 接口 也 搭载 了 Auto-MDIX 功能 。 这 就 使 得 在 通 
信 的 两 台 计 算 机 之 间 ， 只 需 一 方 搭载 该 功能 或 两 方 的 网 络 接口 均 搭 载 该 
功能 ， 即 可 任意 使 用 直 连 线 缆 或 交 又 线 绕 进行 连接 1 。 


| 4 这 也 是 当前 工程 上 使 用 反 跳 网 线 在 两 台 计算 机 之 间 进 行 互联 的 原理 。 一 一 译 者 注 
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图 2-12 思科 公司 的 Catalyst 交换 机 面板 标签 


如 图 2-12 所 示 ， 思 科 公 司 Catalyst 交换 机 的 端口 在 网 络 接口 编号 标签 上 
标记 了 XX 记号， 这 就 表示 该 网 络 接口 的 类 型 为 MDI-X。 但 由 于 Catalyst 
交换 机 本 身 也 搭载 了 Auto-MDIX 功能 ， 而 且 该 功能 为 缺 省 设置 ， 因 此 











这 一 标记 并 没有 什么 实际 意义 。 由 于 现在 越 来 越 多 的 交换 机 厂商 均 默 认 
支持 Auto-MDIX， 使 得 MID-X 与 MDI 的 区 别 逐 渐变 得 模糊 ， 因 此 XX 
标记 几乎 也 不 再 使 用 了 。 


02.05 如何 摘 述 交 换 机 的 处 理 能 


交换 机 的 处 理 能 力也 称 为 背 板 〈backplane) 容量 或 交换 机 容量 ， 有 的 产 
品 说 明 还 会 用 “交换 结构 为 xx Gbit/s” 的 形式 来 描述 处 理 能 


交换 机 容量 单位 为 biys〈 比 特 每 秒 ) ， 该 值 越 大 ， 表 明 交 换 机 在 单位 时 
间 内 所 传输 的 数据 越 多 。 


当 整 个 交换 结构 (switching fabric) 中 所 有 端口 的 总 带宽 小 于 该 交换 结 
构 的 容量 时 ， 整 个 交换 结构 表现 为 非 阻 罕 (non-blocking〉 形 式 ， 即 带 
宽 十 分 充裕 ， 没 有 等 待 处 理 的 情况 。 反 之 ， 当 所 有 端口 总 带宽 超过 该 交 
换 结 构 容量 时 ， 则 称 为 该 交换 结构 过 载 (over subscription ) 。 


在 交换 机 只 有 快速 以 太 网 端口 时 ， 如 果 处 理 能 力 达到 端口 数 
x2x100Mbit/s 的 数值 ， 就 可 以 称 之 为 非 阻塞 交 换 结构 。 其 中 “x2” 表 示 上 
行 与 下 行 均 为 采用 100Mbits 的 全 双 工 通信 。 以 一 台 有 8 个 端口 的 快速 
以 太 网 交换 机 为 例 ， 如 果 其 背 板 容量 达到 8x2x100=1600Mbit/s， 即 达到 
1.6Gbit/s 就 可 将 其 视 为 非 阻塞 。 


同样 ， 对 于 千 兆 以 太 网 问 口 而 言 ， 只 要 处 理 能 力 达 到 端口 数 x2x1Gbivs 
的 数值 ， 即 可 将 其 视 为 非 阻 里 。 


交换 机 的 处 理 能 力 和 在 整个 交换 机 系统 内 部 、 各 个 回路 处 理 数 据 的 传输 
总 线 速度 有 着 密切 关系 (图 2-13) 。 
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图 2-13 交换 结构 与 背 板 概念 图 


由 于 总 线 速率 〈 背 板 容量 ) 是 指 在 1 秒 内 能 够 处 理 的 bit 量 ， 因 此 如 果 
交换 机 内 部 的 控制 处 理 器 等 其 他 模块 1 秒 内 所 人 处理 数据 的 帧 数量 较 少 ， 
就 无 法 获得 与 交换 机 规格 一 致 的 传输 速率 。 因 此 ， 在 交换 机 产品 规格 说 
明 中 ， 除 了 会 说 明 交 换 结 构 容量 或 背 板 容量 外 ， 还 会 说 明 工 2 能 够 桥接 
的 分 组 数 〈 这 里 的 分 组 是 指数 据 帧 ) ， 其 单位 则 使 用 pps (packet per 
second) 来 表示 。 





02.06 ”交换 机 如 何 分 类 

02.06.01 按照 交换 机 的 功能 分 类 

交换 机 按 功 能 可 以 分 为 L2 交换 机 和 L3 交换 机 两 大 类 。 
L2 交换 机 


没有 IP 路 由 功能 和 仅 处 理 数据 链 路 层 的 交换 机 称 为 L2 交换 机 。 根 据 
L2 交换 机 搭载 功能 的 不 同 ， 还 有 如 表 2-7 所 示 的 儿 种 分 类 。 


表 2-7 L2 交换 机 的 分 类 





智能 交换 机 (Smart 
Switch) 





Web 智能 交换 机 (Web 管理 界面 、 能 够 通过 Web 浏览 器 进行 访问 并 设置 
Smart Switch ) 上 能 交换 机 



































智慧 型 交换 机 具有 SNMP 引擎 功能 ， 能 够 远程 管理 的 交换 机 。 没 有 这 个 
(Intelligent Switch ) 功能 的 交换 机 则 称 为 非 智慧 型 交换 机 





























L3 交换 机 


带 有 IP 路 由 功能 的 交换 机 称 为 上 3 交换 机 。 关 于 L3 交换 机 的 功能 请 详 
细 参 考 本 书 第 4 章 。 


02.06.02 ”按照 设备 外 形 分 类 
果 面 式 交 换 机 
顾名思义 ， 桌 面 式 交换 机 是 指 放置 在 桌面 上 使 用 的 交换 机 。 该 类 交换 机 





一 般 只 能 连接 几 台 网 络 设备 ， 通 常用 于 连接 家 庭 个 人 计算 机 或 办 公 室 中 
成 岛 型 分 布 的 台式 计算 机 等 ， 也 被 称 为 岛 型 集线器 或 边缘 交换 机 。 


市 场 上 销售 的 桌面 式 交 换 机 主要 是 3 端口 、5 端口 、8 端口 、16 端口 和 
24 端口 的 产品 。 


设备 的 外 沈 分 为 塑料 外 充 和 金属 外 充 两 种 。 


塑料 外 这 的 交换 机 重量 轻 、 价 格 便宜 ， 但 考虑 到 散热 因素 ， 端 口 数 最 多 
为 16， 电 源 也 一 般 采 用 外 接 电源 的 形式 。 


金属 外 壳 的 交换 机 内 部 忌 片 的 散热 性 较 好 ， 几 乎 都 采用 内 置 电源 。 
交换 机 电源 也 分 为 内 置 和 外 置 两 种 。 


内 置 电源 一 般 在 设备 上 配 有 AC 连接 头 ， 使 用 对 应 的 电源 线 线 连 接 插 座 
即 可 供电 。 尽 管 使 用 AC 连接 头 的 硬件 与 其 他 硬件 相 比 分 量 较 重 ， 但 该 
类 电源 也 有 因为 电源 线 线 难 以 拔 出 而 使 插座 周围 较为 整洁 的 优点 。 


外 置 电源 一 般 使 用 AC 电源 适配器 ， 也 有 通过 USB 供电 的 。 能 够 通过 
USB 供电 的 设备 即便 没有 外 部 电源 插座 ， 也 能 直接 通过 USB 接口 从 笔 
记 本 电脑 获取 电源 。 一 般 可 以 将 采用 外 置 电源 的 硬件 的 构造 设计 得 非常 
紧密 ， 架 面 式 交换 机 使 用 的 AC 电源 适 配 右 是 类 似 于 手机 充电 器 的 小 型 
交换 AC 适 配 莫 (这 里 的 交换 不 是 网 路 术语 ， 而 是 指 电路 中 的 整流 方 

式 ) ， 因 此 体积 不 会 太 大 。 


更 面 式 的 交换机 一 般 不 安装 额外 的 风 忆 ， 均 采用 无 风 书 设计 ， 运 行 噪声 


db 


该 类 中 茶 些 型 号 的 交换 机 外 壳 上 还 会 带 有 用 来 挂 在 增 上 的 挂 孔 ， 或 用 来 
贴 在 金属 条 面 上 的 磁 贴 。 


该 类 交换 机 的 价格 在 数 千 日 元 到 数 万 日 元 〈 几 百 元 至 上 千 元 人 民 币 ) 不 











Link 建 立 / 
Active LED 


维 划 全 对 一 
[ee] 














用 于 安装 在 墙 上 的 挂 孔 





图 2-14 桌面 式 交 换 机 
移动 插座 式 交 换 机 


移动 插座 式 交 换 机 是 指 和 移动 插座 〈 拥 有 多 个 插口 和 延长 线 的 排 插 ) 外 
观 很 像 的 一 种 交换 机 。 该 交换 机 背部 还 配 有 磁 贴 ， 可 以 贴 在 办 公 昌 的 表 
面 上 。 一 般 采 用 无 风 书 散热 、 塑 料 外 元 以 及 内 置 电 源 。 该 类 交换 机 的 优 
点 是 外 部 布线 很 容易 整理 ， 通 过 LED 能 够 清楚 得 知 工 作 状 态 。 目 前 移 
动 插座 式 交 换 机 通 闻 是 8 端口 的 便 件 配置 。 











图 2-15 移动 插座 式 交 换 机 (Corega CG-SW08TXTAPR ) 

箱 式 交换 机 

箱 式 交换 机 能 够 安装 在 19 英寸 机 架 上 ， 一 般 高 度 为 1U 或 2UP 。 
| 5 1 或 20 的 意思 请 参考 01.05 节 。 

该 类 交换 机 一 般 采 用 金属 外 壳 及 内 置 电源 ， 并 配 有 冷却 风扇 。 

该 类 交换 机 以 下 行 24 端口 (10/100BASE-TX) 或 48 端口 
(10/100/1000BASE-T) 、 上 行 2 端口 ( 千 兆 以 太 网 ) 或 4 端口 〈 万 兆 
以 太 网 ) 的 配置 居多 。 其 下 行使 用 RJ-45 的 铜 线 接 口 ， 上 行使 用 铜 线 接 

口 或 SFP/SFP+ 模 进 行 连接 。 


这 类 交换 机 多 在 企业 中 作为 为 接 入 交换 机 使 用 ， 并 文 持 电源 元 余 。 表 2- 
8 介绍 了 主流 的 箱 式 交 换 机 产品 。 


表 2-8 主流 的 箱 式 交 换 机 区 


| < 这 里 介绍 的 交换 机 仅 指 日 本 市 场 上 的 产品 ， 全 球 主流 交换 机 还 有 很 多 。 一 一 译 者 注 








照片 





背 板 容量 有 16、 
32、88Gbit/s 这 几 
个 类 型 ， 最 大 
MAC 地 址 数 为 
8000; 最 多 支持 
255 个 VLAN; 有 


8、24、48 个 下 行 三 二 一 


本 全、 全 全 全 -人 


Cisco vu 

Catalyst pk 以 及 两 个 二 

2960 系 列 | 行 器 口 ， 也 有 些 型 
号 带 有 下 行 PoE 端 
口 ， 操 作 系 统 为 
IOS， 分 为 功能 受 
限 的 廉价 版 LAN 
Lite 和 功能 不 受 限 
的 LAN Base 两 个 
类 型 





Cisco 
Catalyst 
2360 系 列 


D-Link 
DGS-3120 
系列 区 


日 立 电线 
Apresia 
Light 系 列 


Juniper 
Networks 
EX2200 


背 板 容量 关 
88Gbit/s; 最 大 
MAC 地 址 数 为 
8000; 最 多 支持 
128 个 VLAN; 48 
个 
10/100/1000BASE- 
TI 端口 与 4 个 SFP+ 

(万 兆 ) 端口 ; 操 
作 系 统 为 IJOS 


背 板 容量 在 
88~136Gbit/s 之 
间 ; 最 大 MAC 地 
址 数 为 16000; 最 
多 支持 4094 个 
VLAN (其 中 动态 
VLAN 为 255 

个 ) ; 配 有 8、 
24、48 的 
10/100/1000BASE- 
T 端 口 以 及 4 个 
(或 24 个 ) 

SFP〈 千 兆 ) 端 
口 ， 堆 县 数目 最 多 
可 为 12 台 。 操 作 系 
统 分 为 功能 受 限 的 
SI 和 全 功能 的 EI 


背 板 容量 在 
5.6~36Gbit/s 之 
间 ; 最 大 MAC 地 
址 数 为 8000; 最 多 
支持 4000 个 
VLAN; 文 持 8、 
16、24 个 下 行 端口 
以 及 2 或 4 个 SFP 端 
口 





背 板 容量 在 
56~104Gbit/s; 最 
大 MAC 地 址 数 为 
16000; 最 多 支持 
1024 个 VLAN; 支 
持 24、48 个 


10/100/1000BASE- 
工 端口 以 及 4 个 SFP 
端口 





背 板 容量 为 

8.8Gbit/s; 最 大 
0 MAC 地 址 数 为 
Networks 16384， 最 多 支持 
AX1200S ] 可 


= 256 个 VLAN; 支 
持 24、48 个 下 行 端 
口 与 4 个 上 行 端口 





17 POE (Power Over Ethernet) 指 的 是 在 现 有 的 以 太 网 布线 基础 架构 不 作 任 何 改动 的 情况 下 ， 在 
的 终端 在 传输 数据 信号 的 同时 ， 还 能 为 此 类 设备 提供 直流 供电 的 技术 。 一 一 译 
注 














| D-Link 为 友 讯 集团 的 商标 ， 其 成 立 于 1986 年 。 一 一 译 者 注 
机 框 式 交 换 机 
机 框 式 交 换 机 是 指 在 机 框 内 〈chassis) 组 合 多 个 接口 模块 进行 工作 的 交 
换 机 。 访 类 交换 机 可 以 根据 需要 选择 端口 数 和 不 同类 型 的 接口 模块 ， 扩 - 
展 性 非常 好 。 
在 机 框 中 可 以 放置 电源 、 风 届 、 交 换 结 构 等 交换 机 组 成 部 分 ， 再 插入 管 
理 模块 与 接口 模块 ， 这 一 整体 便 组 成 了 机 框 式 交换 机 供用 户 使 用 。 表 2- 
9 列举 了 主要 的 一 些 机 框 式 交 换 机 的 产品 。 

。 线 卡 (line card) 

可 以 插入 机 框 插 槽 的 接口 单元 模块 或 管理 捍 元 模块 。 
。 背 板 (back plane) 


机 框 上 构成 总 线 的 主板 ， 配 有 能 够 插入 线 卡 的 连接 口 。 


表 2-9 主流 的 机 框 式 交换 机 


有 3 槽 、6 槽 、7 槽 、10 醒 
四 种 机 框 。 线 卡 也 根据 插 
朝 不 同文 持 6Gbit/s、 

24Gbit/s、48Gbit/s。 核 心 
管理 模块 称 为 Supervisor 


Cisco 。 
， 名 青 处 
Catalyst Engine， 负 责 处 理 























VLAN、 生 成 树 、Ether 
Channell9 、 巨 型 帧 、L3 
交换 等 。 可 以 通过 插入 两 
个 Supervisor Engine 模 块 
达到 管理 见 余 的 目的 。 操 
作 系 统 为 IOS 


4500 系 列 








Catalyst 4506 





有 3 模 、4 柳 、6 模 、9 村 、 
13 横 五 种 机 框 。 其 中 9 本 
机 框 中 型 号 为 6509-NEB 
的 机 框 采 用 扩展 模块 纵向 
插入 的 结构 ， 其 余 则 采用 
横向 插入 结构 。 管 理 模 块 
Cisco 和 Catalyst 4500 一 样 管理 
Catalyst ee 
6500 系 列 SO Catalyst 6506 

Supervisor Engine 2T 每 个 

插 模 的 最 大 交换 容量 关 

80Gbit/s。 在 6509 中 支持 

最 多 130 个 端口 的 万 兆 以 

太 网 吞吐 
































ALAXALA 
Networks 
AX78005S 
系列 


Juniper 
Networks 
EX8200 


有 2 槽 的 AX7804S、4 覃 的 
AX7808S、8 模 的 

AX7816S 三 个 型 号 。 最 大 
支持 768Gbit/s 的 本 地 交换 











持 384 个 端口 的 千 兆 以 太 
网 以 及 32 个 端口 的 万 兆 以 
太 网 





pr 

















有 8 槽 的 EX8206、16 模 的 
EX8216 两 个 型 号 。 

EX8216 最 多 支持 768 个 二 
兆 以 太 网 端口 和 128 个 万 
兆 以 太 网 端口 的 线 速 处 
理 。 操 作 系 统 为 Junos。 
有 线 卡 可 选择 48 端 口 的 
10/100/1000BASE-T、48 
端口 1000BASE- 

X (SFP) 、8 端 口 
10GBASE-X (SFP+) 、 
40 端 口 的 10GBASE- 

X (SFP+) 这 几 类 








EX8206 





3 将 多 条 链 路 捆绑 聚合 成 一 条 逻辑 链 路 的 技术 。 一 一 译 者 注 

















20 CatOS 来 源 于 思科 收购 的 Crescendo 通信 公司 开发 的 XDI 操作 系统 ， 逐 步 被 思科 自己 开发 
IOS 进行 蔡 代 或 并 用 。 一 一 译 者 注 





























端口 价格 


在 交换 机 中 还 有 个 名 为 “端口 价格 ”的 指标 。 该 指标 古 根 据 交 换 机 便 件 或 
端口 模块 的 总 价 和 端口 数 计 算出 的 每 个 端口 的 价格 。 当 因 模 块 的 不 同 而 
a 载 端 口 的 数目 也 不 同时 ， 能 够 通过 端口 价格 指标 进行 产品 间 的 横向 比 
父 。 


对 于 快速 以 太 网 、 千 兆 以 太 网 、 万 兆 以 太 网 而 言 ， 随 着 速率 的 上 升 ， 
对 应 的 端口 价格 也 随 之 提高 


世界 上 第 一 台 以 太 网 交换 机 EtherSwitch 的 端口 价格 (10BASE-T) 为 
1500 美元 。 


到 2012 年 8 月 为 止 , 架 面 式 交 换 机 以 及 移动 插座 式 交换 机 的 端口 价 

格 ， 快 速 以 太 网 的 约 为 几 百 日 元 左右 ,和 干 光 以 太 网 的 约 为 500 日 元 左右 
( 约 合 人 民 币 30 元 〉。 男 外 企业 使 用 的 箱 式 以 及 机 框 式 交 换 机 ， 根 据 
0 








SS 





图 2-16 ”端口 价格 “〈 广 丙 建议 零售 价 ) 为 280 日 元 的 低 端 交换 机 《人 快 
速 以 太 网 ) 日 本 Logitec 公司 的 LAN-SW05/PH 


sm “mr 人 





人 


图 2-17 ”端口 价格 〈 广 商 建议 零售 价 ) 为 660 日 元 的 中 低 端 交换 机 
(快速 以 太 网 ) Buffalo 公司 的 LSW4-GT-8EP/WH 


02.06.03 ”根据 用 途 分 类 


根据 思科 公司 倡导 的 3 层 模型 人 “， 交 换 机 还 可 以 根据 其 在 网 络 中 所 处 
的 位 置 和 用 途 分 类 ， 具 体 如 表 2-10 所 示 。 


21 该 分 层 模型 是 从 使 用 思科 公司 网 络 产品 进行 布 网 的 角度 进行 的 网 络 分 类 ， 分 为 接 入 层 
(Access Layer) 、 分 布 层 (Distribution Layer) 和 核心 层 (Core Layer) 。 一 一 译 者 注 























表 2-10 根据 分 层 模型 对 交换 机 进行 分 类 




















管理 作为 骨干 网 络 的 汇聚 层 交 换 机 来 完成 高 速 交 换 任务 的 交换 机 。 
业 网 络 分 布 在 多 个 楼 宇 中 时 ， 通 过 汇聚 交换 机 将 接 入 交换 机 以 楼 层 











核心 交换 | 
机 《核心 





层 ) 为 单位 集中 ， 最 终 通过 楼 宇 间 的 核心 交换 机 完成 高 速 交 换 。 核 心 交换 机 
可 使 用 L2 交 换 机 ， 也 可 以 使 用 L3 交 换 机 





汇聚 交换 | 汇聚 接 入 交换 机 的 交换 机 ， 也 可 以 称 为 分 布 交换 机 。 使 用 L3 交 换 机 完成 
机 汇聚 2 0 6S 8 





直接 连接 用 户 的 个 人 计算 机 、 人 P 电 话机 等 终端 的 交换 机 。 一 般配 置 在 企 
业 的 各 个 楼 层 中 ， 也 称 为 楼 层 交 换 机 。 使 用 PoE 和 QoS2 技术 。VLAN 在 
接 入 个 人 计算 机 的 下 行 端口 中 进行 分 割 ， 成 为 通 往 汇聚 交换 机 和 核心 交 
换 机 传输 链 路 的 干线 〈trunk ) 














图 2-18 交换 机 的 分 层 模型 


02.07 成 为 交换 机 性 能 指标 的 端口 种 类 与 数量 


一 台 交 换 机 的 端口 数目 越 多 ， 不 仪 交换 机 能 连接 的 人 硬件 会 增加 ， 而 且 交 
换 机 的 背 板 容 量 也 会 随 之 增 大 。 因 此 在 功能 相同 的 产品 系列 中 ， 端 口 数 
卓越 多 的 型 写 ， 价 格 也 就 越 贵 。 


端口 数目 越 多 ， 非 阻塞 的 背 板 容量 也 会 随 之 变 大 。 另 外 ， 由 于 外 部 连接 
的 硬件 数目 也 会 增加 ， 因 此 需要 注意 在 选 则 交换 机 设备 时 查看 设备 的 
MAC 地 址 数 是 否 足 够 。 








02.07.01 ”快速 以 太 网 (10/100) 端口 


在 如 面 式 交 换 机 和 低 端 箱 式 交换 机 中 有 的 只 配备 了 该 类 端口 ， 也 有 的 为 
了 用 于 连接 下 行 链 路 配置 了 多 个 该 类 端口 。 快 速 以 太 网 (10/100) 端口 

使 用 RJ-45 形状 的 接口 ， 使 用 3 类 或 5 类 以 上 的 双 绞 线 。 由 于 目前 

Auto-MDIX 功能 已 经 成 为 主流 交换 机 的 标 配 ， 因 此 无 需 关注 是 直 连 线 

还 是 双 绥 线 ， 但 大 是 老式 交换 机 ， 仍 需 注意 双 纹 线 的 类 型 。 因 为 传输 线 

级 使 用 的 是 铜 线 ， 所 以 该 类 端口 和 千 兆 以 太 网 端口 都 可 以 被 称 为 铜 端口 
(Copper port) ， 也 可 简称 为 铜 口 Copper) 。 





02.07.02 ”二 兆 以 太 网 端口 〈10/100/1000) 端口 


目前 市 场 上 销售 的 交换 机 ， 除 了 一 部 分 桌面 式 交 换 机 或 低 端 箱 式 交 换 机 
外 ， 还 有 一 部 分 产品 配备 了 RJ-45 形状 的 千 兆 以 太 网 接口 。 通 过 自 适应 
功能 ， 该 端口 同样 可 以 连接 10BASE-T〈 以 太 网 ) 或 10/100BASE- 

TX ee 。 不 过 在 连接 千 兆 以 太 网 时 ， 需 要 使 用 增强 型 5 类 
双 绞 线 。 


02.07.03 ”光纤 专用 端口 (SFP/SFP+) 

在 箱 式 以 上 规格 的 交换 机 上 会 配备 光纤 专用 端口 ， 主 要 用 于 连接 上 行 链 
路 。 这 个 端口 也 可 以 称 作 光电 转换 接口 ， 名 为 权 (slot) 的 转换 器 插入 
口 是 一 个 物理 接口 ， 在 这 个 接口 插入 可 与 交换 机 匹配 的 转换 器 即 可 。 有 
关 转 换 器 的 详细 内 容 可 以 参考 01.04 节 。 


在 箱 式 交换 机 中 为 了 连接 干 光 以 太 网 的 上 行 链 路 通 第 都 会 搭载 


SFP (mini-GBIC) 转换 器 接口 ， 不 过 较 老 的 交换 机 型 号 也 有 搭载 GBIC 
接口 的 情况 。 


机 框 式 交换 机 中 一 般 会 使 用 配备 了 多 个 干 兆 以 太 网 SFP 或 GBIC 接口 的 
接口 卡 ， 也 有 使 用 配备 了 万 兆 以 太 网 XENPAK、XFP 或 SFP+ 接口 的 接 
口 卡 ， 也 就 是 说 在 一 块 接口 卡 中 存在 多 个 相同 标准 的 转换 器 槽 。 


需要 注意 的 是 ， 即 使 是 相同 标准 的 转换 器 〈 如 SFP) ， 也 有 可 能 会 因为 

使 用 的 光纤 线 缆 类 型 或 传输 距离 的 不 同 ， 导 致 具体 的 端口 产品 有 所 差异 
(例如 ， 端 口 是 使 用 1000BASE-SX 标准 还 是 1000BASE-LX 标准 

等 ) 。 














02.07.04 PoE 端口 


有 的 交换 机 还 会 配 有 PoE (Power over Ethernet) 端口 。 访 类 端口 使 用 以 
太 网 线 绕 连接 IP 电 话 设备 或 无 线 LAN 接 入 点 ， 并 通过 该 线 缆 对 设备 进 
行 供电 。 这 个 功能 源 自 思科 公司 在 2000 年 开 发 的 面 癌 卫 电话 供电 的 技 
术 ， 也 可 称 为 线 内 电源 〈in-line power) 技术 。 


一 般 的 家 用 电话 通过 RJ-11 接口 的 电话 线 从 电话 交换 机 ”得 到 48V 的 
直流 供电 ， 因 而 无 需 外 接 电源 无绳 电 话 和 FAX 电话 仍 需 要 外 接 电 

源 ) 。 与 此 类 似 ， 为 了 使 下 电话 也 无 需 外 接 电源 就 能 够 简单 地 接 入 网 
络 ， 通 过 以 太 网线 绕 给 IP 电话 提供 48V 直流 电 的 技术 便 是 PoE 技术 。 
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这 里 的 交换 机 指 市 话 电 信和 网 络 中 的 程控 交换 机 。 一 一 译 者 注 











在 开发 PoE 技术 的 同时 ， 无 线 LAN 标准 化 的 工作 也 逐渐 完成 了 ， 这 就 
使 得 PoE 同样 可 以 为 无 线 LAN 的 接 入 点 进行 供电 。 无 线 接 入 点 在 办 公 
室 的 天 人 花 板 、 墙 壁 等 处 都 可 以 设置 ， 供 电 难 度 很 高 ， 但 通过 PoE 技术 ， 
即使 周边 没有 电源 的 接 入 点 ， 通 过 一 根 以 太 网 线 缆 也 可 以 解决 供电 问 


题 


PoE 技术 作为 [EEE 802.3af 在 2003 年 完成 了 标准 化 工作 ， 从 此 该 技术 
人 POS 终端 、IC 卡 终端 等 连接 以 太 网 的 硬 
设备 。 


PoE (IEEE 802.3af) 与 PoE+ (IEEE 802.3at ) 


IEEE 802.3af 如 表 2-11 所 示 ， 定 义 了 5 个 电能 级 别 ， 可 以 根据 电阻 值 判 
断 用 电 设备 属于 哪个 级 别 。 交 换 机 会 计算 用 电 设 备 所 需 的 最 大 电能 。 


当 交 换 机 不 支持 电能 级 别 中 的 可 选 级 时 ， 会 使 用 默认 级 0 级 。 
可 选 级 4 在 IEEE 802.3at 中 被 重新 定义 ， 也 可 称 为 PoE+。 


表 2-11 IEEE802.3af 电能 级 别 





电能 级 别 | 最 大 直流 供电 电能 


i 





























ef 可 沁 级 IEE 802.3n0) 。 合 用 起 s 关 以 上 UTP 级 给 


表 2-12 比较 PoE 与 PoE+ 


I IEEE 802.3af (PoF) IEEE 802.3at (PoE+ ) 
直流 电源 的 电压 范 44V~57V S50V~57V 








供电 电流 10mA~350mA 10mA~600mA 
最 大 供电 电能 15.4W 34.2W 























使 用 线 统 3 类 以 上 UTP 线 缆 超 5 类 UTP 线 缆 











文 持 PoE 功能 的 交换 机 一 般 都 会 在 产品 规格 说 明 书 中 指明 “每 个 端口 最 
大 文 持 xxW， 设 备 最 大 供电 xW” 等 可 供给 的 电能 信息 。 在 连接 具体 用 
电 硬 件 时 ， 需 要 参考 此 说 明 考 虑 交换 机 的 实际 负载 能 力 。 


02.07.05 ”上 行 链 路 端口 数 


接 入 交换 机 、 汇 聚 交换 机 需要 汇聚 下 行 连接 的 所 有 主机 流量 ， 并 将 这 些 
流量 传输 到 上 行 的 核心 交换 机 或 网 天 之 中 ， 而 在 这 个 网 络 拓扑 中 用 于 癌 
核心 交换 机 、 网 关 传 输 流量 的 链 路 端口 就 叫做 上 行 链 路 端口 (反方 同 则 
叫做 下 行 链 路 端口 ) 。 上 行 链 路 端口 原本 用 于 集 线 圳 的 级 联 。 在 箱 式 交 
换 机 中 一 般 会 配备 2~4 个 干 兆 以 太 网 或 万 兆 以 太 网 的 上 行 链 路 端口 。 比 
如 ， 一 全 拥有 24 个 下 行 链 路 端口 的 快速 以 太 网 交换 机 ， 上 行 速率 必须 
达到 2.4Gbits 才能 进行 非 阻 蹇 〈《 即 不 发 生 等 待 延迟 ) 的 下 行 全 上 行 的 通 
信 。 这 样 一 来 ， 交换 机 就 需要 配备 3 个 以 上 干 兆 以 大 网 口 或 1 个 以 上 
的 万 光 以 太 网 端口 才能 达到 预期 的 通信 效果 。 但 由 于 市 有 非 阻 暑 功 能 的 
交换 机 硬件 费用 很 高 从 降低 成 本 角度 考虑 ， 实 际 中 也 会 使 用 仪 有 两 个 
干 兆 以 太 网 端口 的 交换 机 型 号 。 















TT TT 
em 
48 端 口 的 下 行 链 路 


图 2-19 箱 式 交换 机 的 上 行 链 路 端口 与 下 行 链 路 端口 示例 (以 Cisco 
Catalyst oo 48TD-L 为 例 ) 





2 端口 的 上 行 链 路 


02.07.06 下 行 链 路 端口 数 


下 行 链 路 所 使 用 的 端口 几乎 都 是 铜 口 ， 也 就 是 RJ-45 标准 的 以 太 网 接 
口 。 在 核心 交换 机 或 服务 供应 丙 的 网 络 交 换 机 中 也 有 使 用 光纤 接口 作为 
下 行 链 路 的 端口 ， 但 是 一 般 这 类 交换 机 均 采 用 机 框 式 交 换 机 (图 2- 
20) 。 





图 2-20 思科 公司 的 48 端口 光纤 接口 (SFP) 模块 卡 WS-X6748- 
SFP〔 机 框 式 交 换 机 的 接口 模块 卡 ) 

桌面 式 交 换 机 的 下 行 端口 一 般 从 4 端口 至 24 端口 不 等 ， 箱 式 交 换 机 下 
行 端口 数目 一 般 在 12~48 个 之 间 。 
人 
纤 接 口 。 





图 2-21 思科 公司 48 端口 铜 接口 模块 卡 WS-GE-45AF 机 框 式 交换 
机 的 接口 模块 卡 ) 


02.07.07 交换 机 堆 郝 


通过 堆 生 (Stack) 线 统 能 够 将 多 台 交 换 机 进行 外 部 连接 ， 使 多 台 箱 式 
交换 机 在 网 络 中 成 为 一 台 四 和 辑 交 换 机 使 用 。 交 换 机 堆 登 可 以 通过 使 用 堆 





登 专 用 端口 或 10GBASE-CX 等 同 轴线 绕 高 速 连接 多 台 交 换 机 来 实现 。 


思科 公司 的 Catalyst 2960 系列 交换 机 通过 自 带 的 FlexStack 功能 ， 最 多 
可 以 将 4 台 交 换 机 进行 堆肥 连接 。Catalyst 3750 系列 交换 机 则 通过 自 带 
的 StackWise Plus 功能 ， 最 多 可 将 9 台 设 备 进 行 堆 闭 连接 。 男 外 ， 思 科 
公司 的 Catalyst 6500 系列 交换 机 使 用 VSS (Virtual Switching System， 
人 功能 ， 能 够 将 两 台 物 理 的 交换 机 虚拟 成 工人 台 逻 辑 交 换 机 


将 多 台 交 换 机 虚拟 为 一 人 台 逻 辑 交 换 机 的 功能 在 不 同 公司 有 不 同 的 叫 法 ， 
Juniper 公司 称 之 为 虚拟 机 框 系 统 (VCS，Virtual Chassis System ) 、 博 
科 通 信和 系统 公司 称 之 为 虚拟 艇 交换 (VCS，Virtual Cluster 

Switching) 、 安 奈 特 网 络 公司 4 称 之 为 虚拟 机 框 堆 车 (VCS，Virtual 
Chassis Stacking) ， 最 后 H3C 技术 公司 2 则 称 之 为 智能 弹性 架构 
(IRF, Intelligent Resilient Framework ) 。 








24 英文 为 Allied Telesis， 成 立 于 日 本 的 一 家 交换 机 路 由 器 生产 厂商 。 一 一 译 者 注 














| ” 即 华 三 技术 公司 ， 由 原来 中 国 的 华为 技术 公司 和 美国 的 3COM 公司 合资 成 立 ， 现 为 HP 旗 
译 者 注 


下 全 资 子 公司 。 





图 2-22 ”Cisco Catalyst 3750 交换 机 的 StackWise 端口 和 专用 线 缆 


02.08 ”交换 机 搭载 的 其 他 功能 


本 节 在 比较 交换 机 产品 的 基础 上 ， 说 明 交 换 机 产品 规格 说 明 书 (Catalog 
Specification) 中 摘 述 的 相关 功能 。 


02.08.01 MAC 地址 数 


在 规格 说 明 书 中 记载 的 “MAC 地 址 数 ” 是 指 1 台 交 换 机 能 够 学 习 到 的 
MAC 地 址 表 的 实体 总 数 。 一 般 来 说 ， 小 型 交换 机 的 数目 在 1000 至 
10000 之 间 ， 而 Catalyst 6500 中 的 Supervisor Engine 720 能 够 达到 96000 
个 实体 数 。 


02.08.02 ”巨型 帧 


在 普 通 的 以 太 网 交换 中 ，MTU (Maximum Transmit Unit， 最 大 传输 单 
元 ) 尺寸 为 1500 个 字 节 。 但 某 些 通过 VLAN 封装 后 的 以 太 网 帧 格式 会 
增 大 到 1600 个 字 节 ， 此 时 将 这 类 数据 帧 称 为 小 巨人 巾 (baby giant) 。 
有 时 为 了 提高 传输 效率 ， 以 太 网 帧 格式 的 有 效 载 集会 变 得 更 大 ， 这 时 将 
这 类 帧 称 为 巨型 帆 (jumbo frame) 。 


Cisco Catalyst 产品 最 大 可 以 支持 9216 个 字 节 的 巨型 帧 ， 并 且 可 以 通过 
设置 调整 交换 机 支持 的 巨型 帧 尺寸 上 限 。 


02.08.03 ”生成 树 功能 
桥接 环 与 广播 风暴 


如 图 2-23 中 的 网 络 拓扑 1 所 示 ， 当 交换 机 用 于 两 个 网 段 中 继 时 ， 如 果 
该 交换 机 发 生 故 障 ， 那 么 两 个 网 段 之 间 的 通信 就 会 中 断 。 为 了 避免 这 种 
情况 的 发 生 ， 需 要 像 网 路 拓扑 2 中 所 示 的 那样 ， 使 用 两 台 交 换 机 对 两 个 
网 段 进行 中 继 ， 这 样 一 来 当 其 中 一 台 交 换 机 发 生 故 障 时 ， 男 一 台 也 能 够 
继续 进行 通信 人 处理。 但 采用 网 络 拓扑 2 的 话 ， 也 可 能 会 出 现 桥接 环 
(bridging loop) 问题 。 















当 交 换 机 1 发 生 故障 | 
时 ， 交 换 机 2 仍然 可 
| 以 进行 通信 处 理 






_[ 当 该 交换 机 发 生 故障 ] 
| 时 ， 两 个 网 段 之 间 的 
(通信 就 会 中 断 。 | 








网 络 拓扑 1 和 
图 2-23 桥接 环 
桥接 环 的 发 生 过 程 如 下 所 示 《 所 列 数字 与 图 2-24 相对 应 ) 
1. PC-A 向 PC-B 发 送 以 太 网 数据 帧 。 


2. 交换 机 1 与 交换 机 2 均 从 各 自 的 端口 1 收 到 了 该 数据 帧 。 由 于 之 前 以 
太 网 帧 格式 发 送 方 的 MAC 地 址 (PC-A 的 地 址 ) 并 不 曾 记 录 于 两 台 交 
换 机 的 MAC 地 址 表 中 ， 因 此 这 次 两 台 交 换 机 分 别 在 各 上 自 的 端口 1 下 标 
记 了 PC-A 的 MAC 地址 ， 并 将 其 添加 在 MAC 地 址 表 中 。 


3. 由 于 两 台 交 换 机 在 各 自 的 MAC 地 址 表 中 都 没有 关于 该 数据 帧 发 送 目 
的 地 MAC 地 址 (PC-B 的 MAC 地 址 的 记录 ) ， 所 以 将 该 数据 帧 向 除 接 
收 端 口 ( 端 口 1) 以 外 的 所 有 端口 〈 本 例 中 是 端口 2) 进行 广播 转发 。 


4. 这 时 PC-B 从 两 台 交 换 机 中 接收 到 了 同一 个 数据 帧 。 与 此 同时 ， 交 换 
机 1 和 交换 机 2 也 分 别 从 对 方 那里 接收 到 同一 个 数据 帧 。 


5. 交换 机 工 从 端口 2 中 收 到 了 交换 机 2 发 来 的 复制 数据 帧 ， 该 数据 帧 的 
发 送 方 MAC 地 址 仍 是 PC-A， 但 由 于 是 从 端口 2 处 收 到 的 ， 所 以 又 将 
PC-A 的 MAC 地 址 标记 在 了 端口 2 下 ， 并 记录 到 该 交换 机 的 MAC 地 址 
表 中 。 与 此 同时 ， 交 换 机 2 也 做 了 同样 的 事情 。 而 该 数据 帧 的 目的 地 
MAC 地 址 为 PC-B， 但 PC-B 的 信息 尚未 记录 在 两 台 交 换 机 的 MAC 地 
址 表 中 ， 所 以 两 台 交 换 机 癌 除 接收 端口 以 外 的 所 有 端口 (此 时 为 端口 

















1) 广播 该 数据 帧 。 


6. 两 人 台 交 换 机 又 同时 从 端口 1 处 接收 到 了 复制 数据 帧 ， 重 新 回 到 了 步骤 
凶 ， 并 永远 重复 这 一 过 程 。 





图 2-24 桥接 环 的 发 生 过 程 





我 们 将 这 种 工 个 以 太 网 数据 帧 在 两 台 交 换 机 中 永远 相互 转发 的 状态 称 为 
桥接 环 ， 这 是 一 种 由 于 两 台 交 换 机 均 不 知道 对 方 存 在 而 造成 的 现象 。 当 
大 量 的 广播 数据 帧 在 桥接 环 内 持续 流通 ， 会 使 整个 链 路 的 市 宽 补 大 量 广 
播 数据 帧 占用 (广播 风 骏 ) ， 普 通 的 单 播 数据 帧 则 无 法 在 网 络 中 传输 。 
生成 树 

为 了 避免 桥接 环 问 题 ， 我 们 可 以 使 用 生成 树 协议 (STP，Spanning Tree 
Protocol) ， 使 交换 机 之 间 相 互 知 道 对 方 的 存在 ， 具 体 的 做 法 就 是 在 交 
换 机 之 间 交 换 BPDU (Bridge Protocol Data Unit， 网 桥 协 议 数据 单元 ) 
数据 帧 (图 2-25) 。 


由 实现 生成 树 协议 的 交换 机 所 构成 的 ， 可 能 会 发 生 桥接 环 的 网 络 结构 称 
2 字 节 


为 STP 拓扑 。 
1 1 1 8 8 2 2 2 2 2 
Protocol| Version | BPDU Flags | Root Root Bridge | Port |IMessagelMaximum | Heilo | Forward 
ID(0) (0) | Type | oxoo | ID ID | ID | Age Age |Time| Delay 
0x00 


图 2-25 BPDU 的 数据 帧 格式 
STP 拓扑 内 的 交换 机 一 般 分 为 根 网 桥 和 非 根 网 桥 。 ( 表 2-13、 图 2-26) 
表 2-13 根 网 桥 与 非 根 网 桥 


根 网 桥 作为 生成 树 基准 点 的 交换 机 。 一 般 选 择 Bridge ID (BID) 最 低 的 交换 机 。 
BID 由 优先 级 值 和 MAC 地 址 构成 。 当 优先 级 值 相 同时 ， 选 择 MAC 地 址 值 
最 小 的 交换 机 充当 根 网 桥 。 根 网 桥 每 间隔 2 秒 〈 也 称 为 Hello 时 间 ) 发 送 一 
次 BPDU 数 据 帧 
































二 
(non- | 参与 生成 树 的 交换 机 中 ， 除 了 根 网 桥 以 外 的 装置 


root 
bridge) 





优先 级 值 最 小 或 相同 时 ，MAC 地 址 值 最 小 的 交换 机 成 为 根 网 桥 。 


根 交 换 机 交换 机 A he ID 
优先 级 值 ，32768 


MAC 地 址 : 11:11:11:11:11:11 





se 
Bridge ID 非 根 网 桥 Bridge ID 


优先 级 值 : 32768 优先 级 值 : 32768 
MAC 地 址 : 22:22:22:22:22:22 MAC 地 址 : 33:33:33:33:33;33 


图 2-26 根 网 桥 与 非 根 网 桥 的 示例 


优先 级 数值 的 标准 有 IEEE 802.1D 和 扩展 的 IEEE 802.1t 两 种 方式 。 在 
IEEE 802.1D 中 ， 每 个 交换 机 的 优先 级 值 都 可 以 设 定 为 

0~65535 (16bit〉 中 的 任意 一 个 数值 ， 默 认 值 为 32768。 而 IEEE 802.1t 
中 只 能 设 定 为 0~61440 (需要 在 32768 (0x8000)〉 前 加 上 VLAN 编号 ) 
这 一 范围 中 4096 的 倍数 。 


根 网 桥 作 为 发 送 源 ， 每 个 Hello 时 间 将 自身 的 MAC 地址 和 

01:80:C2:00:00:00 的 多 播 目 的 MAC 地 址 通过 BPDU 数据 帧 发 送 到 STP 

拓扑 内 的 所 有 交换 机 中 。 若 在 10 个 Hello 时 间 内 ， 也 就 是 20 秒 内 没有 

0 es 数据 由 网 络 则 会 判断 STP 拓扑 内 发 生 了 故障 ， 将 重新 计 
四 言 已.。 


Hello 时 间 初 始 值 为 2 秒 ， 但 也 可 以 将 该 值 设置 在 1~10 秒 之 间 。 


生成 树 中 的 端口 类 型 如 表 2-14 所 示 ， 每 个 种 类 的 端口 类 型 通过 如 图 2- 
27 所 示 的 过 程 来 选择 。 


表 2-14 生成 树 的 端口 类 型 








在 交换 机 所 有 的 端口 中 距离 根 网 桥 最 近 的 端口 。 和 根 网 桥 的 距离 

















根 端 口 (Root | 不 是 通过 跳 数 (hop) 来 判断 ， 而 是 通过 通信 成 本 来 决定 的 。 一 台 








CC 


AN 


Port, RP) 非 根 网 桥 


四 | 
ZI 


有 一 个 根 端口 





SS 





已 JE 

下 让 高 总 “| 每 个 网 段 (冲突 域 》 指 派 一 个 端口 ， 是 离 根 网 桥 最 近 的 网 段 上 的 

esignated | 端口 。 根 网 桥 交 换 机 上 的 所 有 端口 均 是 指派 端口 

ort, DP) 

非 指派 端口 
(Non- 

Designated 

Port, DP) 


阻塞 数据 帧 的 端口 ， 也 称 为 阻塞 端口 〈Blocking Port) 





Bridge ID 
优先 级 值 : 32768 
MAC 地 址 : 11:11:11:11:11:11 


100Mbit/s Dp 1 
成 本 : 19 


RP 1 










2 DP 10Mbit/s 
成 本 : 100 


NDP 1 








— 2 DP 100Mbit/s RP 2 “ul 
; 19 
交 扩 轴 B 成 本 六 区 和 5 
Bridge ID Bridge ID 
优先 级 值 : 32768 优先 级 值 ，32768 
MAC 地 址 ，22:22:22:22:22:22““ 非 根 网 桥 MAC 地 址 ，33:33:33:33:33:33 


图 2-27 根 端 口 (RP) 、 指 定 端口 (DP) 、 非 指定 端口 (NDP) 的 
选择 


用 于 决定 根 端口 的 连接 成 本 如 表 2-15 所 示 ， 端 口 的 连接 速度 越 高 成 本 
了 怠 越 低 ， 也 就 越 容 易 成 为 根 端口 。 


表 2-15 决定 根 端口 的 成 本 








连接 速度 802.1D-1998 中 的 STP 成 本 802.1t-2001 中 的 STP 成 本 


10Mbit/s 100 2,000,000 





在 生成 树 中 ， 交 换 机 各 个 端口 状态 的 迁移 过 程 如 表 2-16 所 示 。 在 默认 
设置 下 ， 端 口 状态 迁移 至 转发 〈forwarding) 状态 〈 收 敛 ) 一 共 需 要 50 
秒 。 也 就 是 说 在 交换 机 局 动 后 ， 或 者 因为 故障 等 原因 导致 网 络 拓扑 变化 
需要 重新 计算 生成 树 时 ， 将 会 有 50 秒 的 时 间 无 法 进行 数据 通信 工作 。 


表 2-16 各 个 端口 的 状态 迁移 








默认 时 间 

















交换 机 的 各 个 端口 默认 进入 20 秘 的 阻塞 和 
则 案 状 态 。 | 状态 ， 在 该 期 间 只 能 接收 BPDU 数 据 oe 
态 ，。 | 帧 ， 不 能 发 送 和 接收 其 他 数据 帧 。 在 开 | 不 侨 | 个 所 | 浆 


Mblocking》 | 启 电源 后 的 一 段 时 间 里 所 有 端口 以 及 任 


秒 ) 




















何 时 刻 的 非 指派 端口 都 是 这 个 状态 





15 秒 (该 


wy 号 时 间 也 称 
ee 能 够 发 送 或 接收 BPDU 数 据 帧 ， 但 不 能 了 
侦 听 状态 发 送 接收 其 他 数据 帧 的 状态 。 是 根 端 口 | 人 发 | 个 学 | 为 forward 


MListening》 | 和 指派 端口 向 转发 状态 迁移 的 中 间 状 态 ee 


秒 ) 
































能 够 发 送 或 接收 BPDU 数 据 帧 、 接 收 其 


了 人 15 秒 
NA | 他 数据 帧 的 状态 。 从 接收 到 的 其 他 煞 据 | 一 人 | 
3 | 这 忆 站 认 “| 帧 中 学 习 MAC 地 址 信息 。 也 是 根 端口 和 | 储 改 | 学 习 Pa 





指派 端口 向 转发 状态 迁移 的 中 间 状 态 





























转发 状态 。 ”| 可 以 发 送 或 接收 (传输 ) 


(Forwarding) 


禁用 状态 
(Disabled) 





生成 树 功 能 无 效 时 的 站 








发 生 故 障 后 50 秒 内 通信 停止 会 导致 几 乎 所 有 的 用 户 应 用 程序 超时 ， 
可 能 带 来 其 他 各 种 通信 方面 的 影响 ， 因此 更 各 高 速 的 生成 村 收敛 拔 术 被 
开发 出 来 

思科 公司 独 有 的 生成 树 扩展 功能 


人 
人 钞 。 


表 2-17 思科 公司 生成 树 扩展 功能 








说 明 











在 收集 用 户 数据 的 接 入 交换 机 上 使 用 的 功能 。 与 用 户 的 个 人 计算 机 建立 了 有 效 链 
路 的 交换 机 端口 ， 通 过 PortFast 功 能 可 以 立刻 迁移 到 转发 状态 。 若 链 路 失效 ， 那 
么 从 链 路 断 开 到 重新 建立 ， 端 口 会 从 侦 听 状态 迁移 到 转发 状态 ， 期 间 耗 时 约 30 秘 






































re 当 接 入 交换 机 与 核心 交换 机 通过 两 根 元 余 的 
链 路 进行 直 连 时 ， 若 其 中 1 条 链 路 发 生 故障 ，UplinkFast 可 以 大 大 提 到 切换 到 另 1 
条 链 路 的 速度 。 当 该 功能 生效 时 ， 在 根 端 口 链 路 发 生 故障 后 ， 另 一 个 端口 (阻塞 
状态 端口 立刻 进入 转发 状态 。 此 时 ， 根 网 桥 无 法 继续 使 用 









































UplinkFast 







当 发 生 故 障 时 ， 
根 端口 一 UplinkFast 功 能 
链 路 断 开 "| 会 立刻 启动 阻塞 
状态 端口 


交换 机 阻塞 端口 一 根 端口 






检测 出 间接 链 路 发 生 的 故障 ， 使 状态 迁移 的 时 间 从 50 秒 缩短 为 30 秒 


RSTP 


2004 年 IEEE 802.1w 正式 定义 了 RSTP (Rapid Spanning Tree Protocol， 
快速 生成 树 协 议 ) 。 最 初 的 生成 树 协议 在 1998 年 作为 [EEE 802.1D 就 
完成 了 标准 化 ， 而 RSTP 则 在 随 后 以 IEEE 802.1D-2004 的 标准 形式 完 
成 了 标准 化 工作 。 


在 RSTP 中 ， 端 口 状 态 的 收敛 只 需 工 秒 。 


RSTP 中 的 端口 类 型 与 STP 定义 的 稍 有 不 同 ，STP 中 的 非 指 派 端 口 在 
RSTP 中 被 分 为 了 蔡 换 端口 和 备用 端口 ( 表 2-18) 。 


表 2-18 RSTP 的 端口 类 型 


和 和 四 zet| 交换 机 中 离 根 网 桥 最 近 的 端口 《与 STP 相 同 ) 
已 VE 

指派 端口 (DP， | 离 根 网 桥 最 近 的 网 段 上 的 端口 “与 STP 相 同 ) 
designated port ) 








替换 端口 AP， | 除了 根 端口 以 外 连接 根 网 桥 成 本 最 低 的 端口 ， 用 于 提供 连接 根 
alternate port) “| 网 桥 的 备用 路 径 ， 一 般 处 于 阻塞 状态 








备份 端口 BP， | 指派 端口 所 连接 的 网 段 中 同时 连 有 男 一 个 端口 ， 那 么 这 个 端口 


backup port) 就 可 以 作为 指派 端口 的 备份 ， 一 般 也 处 于 阻塞 状态 








ed) 
图 2-28 RSTP 的 端口 选举 范例 
表 2-19 RSTP 端口 状态 


SI RSTP 沛 


区 下 本 区 丢弃 流入 端口 的 数据 帧 ， 不 学 习 MAC 地 址 














学 习 状 态 。 ”| 虽然 丢弃 流入 端口 的 数据 帧 ， 但 学 习 MAC 地 址 
续 发 状态 要 所 流入 端口 的 数据 想 以 及 学 习 的 MAC 地 址 信息 进 和 











STP 协议 中 ， 根 网 桥 生 成 BPDU 数据 帧 ， 其 他 网 桥 《〈 交 换 机 端口 ) 
通过 转发 BPDU 数据 帧 来 进行 状态 迁移 、 完 成 收敛 。 而 在 RSTP 协议 
所 有 的 网 桥 均 会 生成 BPDU 数据 帧 ， 并 同 相 邻 的 交换 机 进行 握手 
CHandshake) 。 双 方 交 换 机 通过 握手 ， 从 交换 的 提议 (Proposal) 
BPDU 数据 帧 中 获取 对 方 的 BPDU 优先 级 信息 并 进行 比较 ， 选 出 根 网 桥 
和 根 端 口 后 由 根 端 口 发 送 同 意 (Agreement) BPDU 数据 帧 ， 至 此 交换 
机 间 的 握手 才 算 完成 。 


随后 ，BPDU 数据 帧 会 以 Hello 时 间 (默认 是 2 秒 ) 为 间隔 连续 发 送 ， 


当 对 方 在 3 个 时 间 间 隔 内 没有 发 送 BPDU 数据 帧 时 ， 网 络 会 判断 该 链 路 
己 经 失效 。 所 以 在 RSTP 协议 中 ， 只 需要 6 秒 即 可 检测 出 链 路 发 生 故 
障 。 


另外 ，RSTP 可 以 向 下 兼容 STP， 因 此 使 用 RSTP 的 交换 机 与 使 用 STP 
的 交换 机 能 够 在 同一 个 STP 网 路 拓扑 中 共存 。 但 这 时 ，RSTP 无 法 进行 
高 速 收敛 。 

其 他 生成 树 

表 2-20 总 结 了 各 种 VLAN 中 使 用 了 生成 树 的 协议 。 


表 2-20 STP、RSTP 以 外 的 生成 树 





CST (Common 多 个 VLAN 仪 设置 了 1 个 STP 生 成 树 。 由 三 EE802.1Q 根据 
Spanning Tree) VLAN 标 签 进行 链 路 聚集 ) 定义 





思科 公司 特有 的 协议 ， 能 够 在 每 个 VLAN 中 分 别 设置 STP 生 成 
树 。 在 交换 机 之 间 使 用 该 公司 的 ISL (Inter-Switch Link) 进 








PVST (Per-VLAN 





Spanning Tree) 行 链 路 聚集 





PVST+ (Per-VLAN | 在 PVST 与 CST 混 合 的 环境 下 也 可 使 用 ， 能 够 对 应 多 个 VLAN 
Spanning Tree Plus) | 的 生成 树 





RPVST+ (Rapid Per- 
VLAN Spanning Tree | 可 以 对 每 个 VLAN 都 分 别 设置 RSTP 的 生成 树 
Plus) 





MST (Multiple EV 并 到 IEEE802.1Q-2005 的 生成 树 。 和 RSTP 


Spanning-Tree, A > 
IEEE802.1s) 1 个 BPDU 管 理 多 个 VLAN 














02.08.04” 链 路 聚合 


使 用 链 路 聚合 (Link Aggregation) 的 方法 能 够 将 多 条 交换 机 物理 线路 
《端口 ) 汇聚 成 蛙 条 逻辑 线路 (聚合 链 路 ) 在 网 络 中 使 用 。 物 理 接 口 的 
聚合 有 多 种 称呼 : 端口 聚集 (port trunking) 、 链 路 捆绑 (ink 
bundling) 、 绑 定 (bonding) 、 组 队 〈teaming) 等 等 。 


EtherChannel 


在 思科 公司 的 IOS 及 CatOS 中 ，EtherChannel 功能 就 是 一 种 链 路 聚合 。 
该 功能 将 聚合 的 物理 端口 根据 其 速率 情况 ， 分 为 FEC (Faster Ethernet 
Channel， 多 个 快速 以 太 网 线路 聚合 ) 、GEC (Gigabit Ethernet 
Channel， 多 个 和 干 兆 以 太 网 线路 聚合 ) 、10GEC (10Gigabit Ethernet 
Channel， 多 个 万 兆 以 太 网 线路 聚合 ) 等 多 个 聚合 类 型 ， 每 个 类 型 可 以 
聚合 2~8 个 端口 。 


例如 ， 两 台 交 换 机 各 有 3 个 千 兆 以 太 网 端口 ， 将 每 台 交 换 机 的 端口 聚合 
成 1 条 逻辑 线路 〈GEC) ， 交 换 机 之 间 便 可 进行 最 大 3Gbit/s 速率 的 连 
接 。 这 时 ， 即 使 3 条 物理 线路 断 开 了 任意 一 条 ， 由 于 逻辑 线路 还 有 两 条 
在 维持 ， 因 此 通信 也 不 会 中 断 ， 达 到 了 线路 元 余 的 效果 。 


如 果 不 使 用 链 路 聚合 功能 ， 而 是 直接 将 交换 机 上 的 多 个 物理 端口 连接 起 
来 ， 可 能 会 导致 桥接 环 的 发 生 。 奉 是 使 用 生成 树 协议 ， 又 会 避 开 东 些 链 
路 ， 导 致 只 有 1 条 物理 链 路 可 供 使 用 。 


如 上 文中 提 到 的 将 3 条 物理 线路 聚合 的 例子 ， 在 交换 机 具体 实现 后 ， 参 
考 以 太 网 数据 帧 中 的 MAC 地 址 或 数据 帧 有 效 载荷 中 IP 首部 内 的 了 地 
址 信息 ， 还 可 以 选择 使 用 哪 根 具体 的 物理 链 路 来 传输 数据 帧 。 


IEEE 802.3ad/IEEE 802.1AX 

IEEE 802.3ad 是 2000 年 3 月 制定 的 关于 链 路 聚合 的 标准 。 该 标准 和 之 
后 在 2008 年 制定 的 IEEE 802.1X 出 现 了 分 层 关 系 上 的 冲突 ， 于 是 叉 经 
802.1 工作 组 再 度 修 改 ， 最 终 以 IEEE 802.1AX-2008 的 形式 再 次 发 布 。 
该 标准 也 被 称 为 LACP (Link Aggregation Control Protocol， 链 路 聚合 控 
制 协议 ) 。 使 用 LACP 协议 可 以 完成 交换 机 之 间 设 备 、 端 口 状 态 和 链 路 
设置 等 信息 ， 但 有 些 事项 需要 注意 ， 具 体内 容 如 表 2-21 所 示 。 


表 2-21 IEEE 802.3ad 的 注意 事项 



































能 用 于 相同 传输 | 例如 ， 只 能 在 1000BASE-T 中 使 用 ， 而 无 法 在 1000BASE-T 与 
媒介 之 间 1000BASE-SX 线 路 中 混用 












































用 例 双 工 道 | 链 路 聚合 不 支持 半 双 工 通信 方式 


| 点 到 多 点 的 拓扑 结构 ， 只 外 





















































PAgP 


PAgP (Port Aggregation Protocol， 端 口 聚 合 协议 ) 是 思科 公司 的 杜 有 协 
议 ， 通 过 该 协议 思科 公司 交换 机 之 间 的 链 路 聚合 能 够 自动 生成 。 交 换 机 
通过 那些 成 为 聚合 链 路 的 物理 成 员 端 口 来 交换 PAgP 分 组 、 识 别 相 邻 交 
换 机 和 获得 聚合 方面 的 信息 。 


02.08.05 VLAN 


将 广播 域 分 割 成 一 个 个 逻辑 网 段 的 功能 称 为 VLAN (Virtual LAN 的 简 
称 ) 。 关 于 VLAN 的 信息 请 参考 第 4 章 。 





02.08.06 “端口 镜像 


将 某 个 端口 收发 到 的 以 太 网 数据 帧 复制 到 镜像 端口 (Mirroring Port) 上 
进行 肥 送 的 功能 叫做 端口 镜像 (Port Mirroring) (图 2-29) ， 被 复制 的 
源 端 口 称 为 监控 端口 (Monitor Port) 。 


为 了 分 析 网 络 故障 或 检测 网 络 中 的 通信 流量 信息 ， 交 换 机 会 将 收 到 的 数 
据 帧 复制 一 份 并 转发 到 LAN 分 析 器 《也 称 为 嗅 探 器 、 分 组 分 析 器 、 网 
络 分 析 占 或 流量 监控 设施 中 。 


如 条 使 用 的 是 中 继 器 ， 在 茶 个 端口 接收 到 数据 帧 时 ， 需 要 将 该 数据 帧 复 
制 并 转发 到 其 他 所 有 端口 。 而 交换 机 则 会 根据 数据 帧 发 送 源 的 MAC 地 
址 ， 完 成 MAC 地 址 表 《〈 转 发 表 ) 的 记录 ， 通 过 学 习 MAC 地 址 将 数据 
帧 只 发 送 到 目的 地 MAC 地 址 所 对 应 的 端口 中 去 。 这 时 ， 如 果 需 要 侦 测 
发 送 到 其 他 端口 的 通信 数据 ， 就 需要 使 用 端口 镜像 这 一 功能 了 。 


思科 公司 的 Catalyst 系列 交换 机 所 使 用 的 端口 镜像 功能 称 为 
SPAN (Switched Port Analyzer， 交 换 端 口 分 析 髓 ) 。 








端口 镜像 功能 。 | 


将 经 过 指定 端口 的 数 
据 帧 复制 并 转发 到 其 
他 端口 的 功能 。 有 些 
交换 机 产品 可 以 通过 
设置 将 自身 的 普通 端 
品 作 为 统 像 端口 使 
用 ， 也 有 些 产品 

“2 | 、\、 | 专用 的 物理 镜像 端口 | 





互联 网 公司 LAN 数据 捕获 软件 


数据 捕获 计算 机 
| 将 复制 的 数据 帧 重组 并 通 | 


人 过 专用 应 用 程序 分 析 
图 2-29 ”端口 镜像 的 构成 
02.08.07 QoS 优先 级 队列 


QoS 是 Quality of Service 的 缩写 ， 也 称 为 服务 质量 。 这 是 一 个 为 了 保障 
高 稳定 和 低 延 迟 的 网 络 通 信 速 率 ， 当 数据 通过 网 络 硬件 时 ， 根 据 其 通信 
种 类 控制 通信 优先 级 和 带宽 的 功能 。 一 般 而 言 ， 将 主干 通信 业务 、 声 
音 、 影 像 等 数据 的 通信 定义 为 优先 级 较 高 以 便 它 们 能 得 到 优先 处 理 ， 同 
时 将 这 类 业务 通信 的 时 延 、 抖 动 等 降 至 最 低 。 


除了 交换 机 在 L2 上 进行 的 QoS 控制 以 外 ， 还 有 路 由 器 以 及 L3 交换 机 
进行 的 L3 (IP〉 的 QoS 控制 以 及 TCP 进行 的 L4 的 QoS 控制 。 


IEEE802.1p 标准 完成 了 对 L2 的 QoS 优先 级 控制 的 标准 化 工作 。 


由 于 IEEE802.1Q 标准 对 VLAN 中 的 VLAN 标签 (扩展 MAC 首部 ) 提 
供 了 3bit 长 度 的 PCP (Priority Code Point) 优先 级 控制 符 ， 因 此 L2 的 


Qo5S 控制 同样 适用 于 VLAN 环境 。 


e@ 包 含 VLAN 标 签 信息 的 MAC 扩 展 数据 帧 





6 字 节 ”6 字 节 2 字 节 2 字 节 46~1500 字 节 4 字 节 


Tag Control Information 4 


优先 级 | GFI| VLAN ID (VLAN 标识 符 ) 





3bit 1bit 12bit 


图 2-30 ”VLAN 的 优先 级 别 信 息 


目前 ，IEEE 802.1p 已 经 被 并 入 到 IEEE 802.1D-2004 (IEEE 802.1D 是 包 
含 了 生成 树 算法 的 MAC 桥接 标准 ) 标准 中 。 


IEEE 802.1p 支持 GARP (Generic Attribute Registration Protocol， 通 用 属 
性 注册 协 议 ) 以 及 能 够 通过 GARP 协议 将 主机 或 网 桥 拥 有 的 多 播 地 址 通 
知 给 其 他 网 桥 的 GMRP (GARP Multicast Registration Protocol， 多 播 注 
册 协 议 ) 协议 。 


通过 3bit 的 优先 级 控制 信息 ， 可 以 定义 从 0 到 7 的 8 个 优先 级 ( 即 Cos 


值 ，Class of Service 值 ， 服 务 等 级 值 ) ， 交 换 机 会 优先 发 送 该 值 较 大 的 
数据 帧 。 


02.08.08 ”MAC 地 址 过 滤 


为 了 网 络 安全 ， 只 让 网 络 完成 满足 指定 条 件 的 通信 过 程 的 功能 称 为 通信 
过 滤 和“ 功能 。 


| 26 英语 为 filtering。 一 译 者 注 


有 的 L2 交换 机 可 以 提供 基于 以 太 网 数据 帧 的 首部 信息 进行 通信 过 滤 的 
功能 。 具 体 而 言 ， 就 是 事先 设置 一 定 的 过 滤 条 件 ， 如 目的 地 MAC 地 


址 、 发 送 源 MAC 地 址 、 类 型 域 信 息 等 ， 在 通信 时 只 让 满足 条 件 的 数据 
帧 通过 ， 阻 挡 其 他 不 满足 条 件 的 数据 帧 。 


由 于 不 同 的 个 人 计算 机 会 带 有 不 同 的 MAC 地址 ， 所 以 公司 网 络 还 可 以 
通过 MAC 过 滤 功 能 ， 只 人 允许 在 公司 管理 范围 内 的 计算 机 访问 公司 的 
LAN (图 2-31) 。 另 外 ， 考 虑 到 可 能 还 会 有 伪造 MAC 地 址 的 情况 发 
生 ， 所 以 需要 将 MAC 地 址 过 滤 和 更 为 严格 的 LAN 接 入 控制 认证 协议 
IEEE 802.1X (参考 02.08.09) 一 同 使 用 。 


L3 交换 机 或 路 由 器 带 有 可 以 根据 IP 首部 信息 % IP 通信 过 滤 的 功能 ， 
不 过 有 些 L2 交换 机 也 同样 带 有 卫 过 滤 的 功能 


MAC 地 址 过 滤 也 是 在 无 线 LAN 的 接 入 点 中 经 常 使 用 的 功能 






只 有 发 送 源 MAC 地 址 一 致 时 
才 人 允许 接 入 网 络 





注册 MAC 地 址 信息 | 


11:22:33:bb:cc:dd 
11:22:33:cc:dd:ee 


% 
\, 


11:22:33:cc:dd:ee 


图 2-31 MAC 过 滤 的 构造 


02.08.09 ”基于 端口 的 认证 


在 支持 基于 端口 认证 的 交换 机 中 ， 通 过 认证 的 客户 端 才 被 允许 使 用 交换 
机 的 端口 。 该 功能 经 由 IEEE 802.1X 完成 了 标准 化 。IEEE 802.1X 标准 

是 于 2001 年 以 “Port Base Network Access Control (基于 端口 的 网 络 访问 
控制 ) ”为 名 发 布 的 标准 协议 ， 提 供 了 对 接 入 LAN 的 客户 问 (个 人 计算 


机 ) 进行 认证 的 一 系列 机 制 。 


该 认证 协议 常用 于 客户 端 在 接 入 无 线 LAN 接 入 点 时 的 认证 工作 。 但 在 
IEEE 802.1X 认证 的 交换 机 上 同样 可 以 实现 接 入 有 线 LAN 的 认证 
工作 。 


在 有 线 LAN 中 ， ee eae 

认证 过 程 开 始 启动 。 根 据 发 送 方 的 MAC 地 址 信息 进行 客户 端 识别 ， 通 

过 用 户 名 、 口 令 或 证 书 等 认证 信息 进行 用 户 认证 。 对 于 没有 认证 的 客户 

端 发 来 的 数据 帧 ， 交 换 机 只 保存 包含 了 认证 所 需 信 息 的 数据 帧 ， 其 余 全 

ee ER 家 发 来 的 数据 帧 ， 交 换 机 则 直接 丢 弃 不 
| 其 


表 2-22 列举 了 IEEE802.1X 的 3 个 构成 要 素 。 


表 2-22 IEEE 802.1X 的 构成 要 素 




















在 客户 端 所 属 的 个 人 计算 机 上 安装 的 用 于 IEEE 802.1X 认 证 的 功能 
认证 请 求 者 实体 (软件 ) 。 在 Windows XP/Vista/7 以 及 MAC OS X 操 作 系 统 吕 


Coripblicants 内 置 了 该 功能 实体 。 与 Windows 中 的 EAP-MD5、EAP-TLS、PEAP 
相对 应 ， 




















与 MAC OS X 中 的 EAP-TLS、EAP-FAST、EAP-TITLS、 


LEAP、PEAP27 相对 应 


认证 方 在 IEEE 802.1X 中 对 应 的 交换 机 或 无 线 LAN 访 问 接口 。 在 认证 请 求 
Cauthenticator) | 方 和 认证 服务 器 之 间 转 播 认 证 消息 








认证 服务 器 
(authentication | 对 认证 请 求 方 进行 认证 的 服务 器 ， 通 常 使 用 RADIUS 服务 器 


server) 

















” 这 些 都 是 操作 系统 自 带 的 用 于 802.1X 扩展 的 认证 协议 ， 在 L2 中 工作 。 一 一 译 者 注 








奇想 进行 基于 端口 的 认证 ， 客 户 端 所 属 电脑 与 交换 机 双方 都 必须 预先 设 
置 成 支持 使 用 IEEE 802.1X 进行 认证 。 只 有 客户 端 支 持 是 无 法 使 用 








IEEE 802.1X 的 ， 但 仍 可 以 无 条 件 使 用 所 有 交换 机 端口 。 相 反 ， 如 果 只 
有 交换 机 支持 ， 客 户 端 则 不 能 使 用 交换 机 的 任何 端口 。 


IEEE 802.1X 认证 中 使 用 了 PPP (Point to Point Protocol， 点 对 点 协议 ) 
的 扩展 协议 EAP (Extensible Authentication Protocol， 可 扩展 认证 协 

议 ) ， 通 过 EAPOL (Extensible Authentication Protocol Over LAN， 局 域 
网 的 扩展 认证 协议 ) 协议 封装 EAP 认证 消息 ， 然 后 在 LAN 中 进行 传 
递 。 认 证 结束 之 前 ， 客 户 端 所 属 的 个 人 计算 机 无 法 进行 EAPOL 以 外 的 


通信 。 


认证 请 求 方 认证 方 认证 服务 器 
Gy 本 
EAP EXPIRSdUSIUDPTIPTEIher| 蝶 z 
用 于 认证 的 支持 IEEE 802.1X 支持 IEEE802.1X 的 
客户 端 软件 的 交换 机 RADIUS 服务 器 


1) EAPOL-Start 


EAP Logoff 





无 认证 端口 
图 2-32 ”IEEE 802.1X 基于 端口 认证 的 流程 
02.08.10 网络 管理 


SNMP 


远程 管理 、 监 视 和 设置 网 络 硬 件 可 以 使 用 SNMP (Simple Network 
Management Protocol， 人 简单 网 络 管理 协议 ) 协议 。 使 用 SNMP 协议 能 够 
网 络 组 织 结 构 内 安装 的 交换 机 和 其 他 网 络 硬 件 进行 集中 统 
一 的 管理 。 


被 SNMP 管理 的 网 络 设施 称 为 代理 者 〈agent) ， 管 理 网 络 的 设施 则 称 
为 管理 者 (manager) 28 。 


28 这 是 SNMP 中 网 络 管理 的 抽象 概念 。 一 一 译 者 注 





能 够 使 用 SNMP 代理 和 RMON 功能 的 交换 机 称 为 智 意 《〈Intelligent) 交 
换 机 。 


SMIv1 或 SMIv2 的 形式 —_] 


MIB、MIB-Il ( 标准 MIB ) 
私有 MIB ( 扩展 MIB ) 


SNMP ( UDP 端口 161 ) 路 由 器 
全 





防火 墙 
SNMP 陷 阱 ( UDP 端口 162 ) 
~ 交换 机 
SNMP 管 理 者 SNMP 代 理 者 
( 管理 工作 站 ) ( 管理 对 象 节点 ) 


图 2-33 使 用 SNMP 进行 网 络 管理 的 思路 
SNMP 协议 分 为 版 本 1、 版 本 2 和 版 本 3 ( 表 2-23) 。 


表 2-23 SNMP 版 本 





在 RFC1157 中 定义 了 整个 协议 的 内 容 ， 在 RFC1066 中 定 
义 了 MIB 信 息 ， 在 RFC1213 中 定义 了 MIB-I 的 相关 内 容 。 
定义 了 GetRequest、GetNextRequest、GetResponse、 
SetRequest 和 Trap 五 种 消息 (PDU,， Protocol Data Unit， 
SNMPv1 |RFC1157 协议 数据 单元 ) 。 该 版 本 是 最 初 的 SNMP 协 议 ， 
community{29[SNMP 协议 中 表示 网 络 设备 团体 名 称 的 一 

















个 数据 结构 ， 具 体内 容 可 参考 后 文 关于 “团体 ”的 说 明 。 
一 一 译 者 注 ]} 信 息 的 交互 使 用 明文 、 安 全 性 较 弱 ， 因 此 

















已 经 很 少 使 用 


添加 了 GetBulkRequest 消 息 ， 能 够 更 加 快速 地 获取 多 个 
、 MIB 信 息 。 因 为 改善 了 SNMPv1 中 的 安全 性 问题 并 扩展 了 

SNMPV2 RFCI441~1432 | 协议 而 得 到 标准 化 ， 但 由 于 安全 功能 过 于 复杂 ， 也 没有 
在 大 范围 内 使 用 


和 SNMPv1 一 样 使 用 community 进 行 网 络 管理 ， 
SNMPv2c | RFC1901~1908 |community 信 息 的 交互 同样 也 使 用 了 明文 。 添 加 了 Inform 
消息 ， 使 管理 者 之 间 可 以 通信 并 交换 信息 
RFC1909、 简化 了 SNMPv2 的 复杂 性 ， 采取 了 比 SNMPv1 更 安全 的 基 
SNMPv2u |1910 于 用 户 的 SNMP 管 理 方式 。SNMPv3 在 安全 方面 继承 了 该 
版 本 的 一 部 分 内 容 
2002 年 成 为 了 RFC 的 标准 之 一 。 基 本 功能 同 SNMPv2c 没 
有 本 质 的 差异 ， 但 是 不 再 使 用 community， 而 是 使 用 了 以 
用 户 为 单位 进行 口令 认证 的 方式 ， 即 USM 方 式 (User- 
based Security-Model， 基 于 用 户 的 安全 模型 ) 。 其 中 口 
令 使 用 MD5 或 SHA 的 哈 希 值 进行 交互 ， 协 议 数据 同样 可 
以 使 用 密 文 存 取 。 该 版 本 是 目前 广泛 使 用 的 SNMP 版 本 
可 以 选择 以 下 安全 级 别 。 
























































































































































noAuthNoPriv (不 认 不 认证 ， 使 用 明文 保 
证 、 明 文 ) 存 数据 

authNoPriv( 认 证 、 明 ”|| 认证， 使 用 明文 保存 
到 ) 数据 

















SNMPv3 |RFC3411~3418 | |authpriv (认证 、 密 六 使 用 密 文 保存 


同时 还 拥有 VACM (View based Access Control Model, 
基于 视图 的 访问 控制 模型 ) 功能 ， 该 功能 定义 了 每 个 用 
户 能 够 访问 的 MIB 范 围 。 在 VACM 中 用 户 能 够 访问 的 

范围 称 为 上 下 文 (context) ， 该 上 下 文通 过 其 在 整 

空间 内 的 唯一 命名 上 下 文 名 
(contextName) ， 和 一 个 管理 域内 唯一 的 

contextEngineID 进 行 识别 。 在 该 上 下 文 参数 的 交互 上 添 
加 了 scoped 消 息 。 此 外 ， 还 添加 了 
maxSizeResponseScoped 消 息 用 于 告知 scoped 消 息 发 送 方 
能 够 发 送 的 最 大 消息 长 度 是 多 少 
























































SNMP 协议 使 用 UDP 的 161 端口 进行 数据 的 通信 3 ， 这 是 由 于 TCP 需 
要 建立 连接 才能 完成 通信 31 ， 并 不 适合 用 于 紧急 数据 通信 的 情况 。 而 
UDP 无 需 建 立 连 接 ， 可 以 随时 发 送 数据 ， 符 合 SNMP 的 应 用 要 求 ， 所 
以 SNMP 使 用 了 UDP 通信 方式 。SNMP 陷阱 消息 使 用 UDP 的 162 端口 
进行 数据 的 通信 。SNMP 陷阱 消息 是 指 像 通信 设备 的 电源 坏 了 1 个 或 





CPU 使 用 率 超 过 了 90% 这 样 的 ， 即 使 管理 者 没有 要 求 ， 代 理 者 也 会 目 
动 发 送 的 警告 消息 。 


30 这 里 的 端口 是 指 软 端口 ， 即 在 传输 层 上 使 用 的 用 于 表示 进程 间 通 信 的 软件 端口 。 一 一 译 者 
注 























31 建立 连接 TCP 的 成 本 也 比较 高 。 在 网 络 条 件 较 好 的 情况 下 ，UDP 通信 的 可 靠 性 会 上 升 很 
多 ， 而 且 更 为 便捷 。 一 一 译 者 注 




















SNMP 管理 者 与 SNMP 代理 者 之 间 使 用 的 SNMP 交互 消息 ， 包 含 了 
SNMP 版 本 、 community 名 称 、PDU (Protocol Data Units， 协 议 数据 单 
元 ) 等 信息 。PDU 是 SNMP 的 指令 数据 ， 大 致 内 容 如 表 2-24 所 示 。 


表 2-24 SNMP 中 使 用 的 PDU 












































SNMP 管 理 者 为 了 获取 【〈 读 取 ) 数据 向 SNMP 代 理 者 发 出 的 请 求 消 息 。 使 
用 UDP 的 161 端 口 发 送 到 SNMP 代 理 者 处 。 发 送 源 端口 取 适 当 的 值 

























































































当 SNMP 代 理 者 收 到 SNMP 管 理 者 的 Get-Request 消 息 后 ， 返 回 给 管理 者 的 
应 答 消 息 。 代 理 者 使 用 UDP 的 161 端 口 作为 发 送 源 端口 ， 而 目的 端口 则 是 
Get- Request 消 息 息 中 携带 的 发 送 源 端口 号 


















































SNMP 管 理 者 收 到 Get-Request 消 息 并 从 中 获取 MIB 信 息 后 ， 想 要 得 到 下 一 
项 目 信 息 时 向 SNMP 代 理 者 发 送 的 请 求 消息 。 代理 者 同样 使 用 Get- 
Response 作 为 该 消息 的 应 答 

































































想 要 更 改 通信 设备 的 设置 时 ，SNMP 管 理 者 会 向 SNMP 代 理 者 发 送 Set- 
Request 消 息 。 使 用 161 的 UDP 端口 号 作为 目的 端口 。 代 理 者 使 用 Get- 
Response 消 息 应 答 









































SNMP 管 理 者 从 SNMP 代 理 者 自动 收 到 的 紧急 消息 ， 使 用 UDP 的 162 号 端 


























SNMP 协议 中 有 一 个 名 为 团体 〈community) 的 概念 。 只 有 携带 同 
样 团 体 名 称 的 SNMP 代理 者 与 SNMP 管理 者 之 间 才 能 进行 SNMP 
消息 交互 ， 因 此 团体 也 可 以 视 作 是 二 者 之 间 进 行 交 互 的 一 种 口令 


(password) 。 


团体 可 以 分 为 读 取 用 (Read-Only， 在 Get-Request 消息 中 使 用 ) 、 
读 写 用 (Read-Write， 在 Set-Request 消息 中 使 用 ) 以 及 Trap 用 ， 

可 以 根据 需要 自 定义 团体 名 称 。 读 取 用 团体 的 命名 几乎 都 会 默认 使 
用 “public” 文 字 序 列 。 


团体 名 称 可 以 使 用 明文 进行 通信 交互 ， 但 有 时 不 仅仅 是 团体 名 称 ， 
整个 SNMP 通信 信息 都 可 以 在 网 络 中 使 用 明文 进行 通信 ， 这 一 点 


需要 注意 。 


不 过 SNMPv3 不 再 使 用 团体 名 称 而 是 使 用 以 用 户 为 单位 的 口令 认 
全 

















MIB 


网 络 硬件 中 会 使 用 很 多 类 型 的 配置 参数 来 完成 对 设备 管理 ， 如 接口 
和 协议 的 设置 信息 等 。 在 SNMP 中 这 类 信息 通过 

MIB (Management Information Base， 管 理 信息 库 ) 这 个 数据 库 32 
来 进行 管理 。MIB 数据 库 采 用 树 形 结构 ， 其 中 的 信息 来 自 设备 制 
造 厂商 提供 的 相关 文本 文件 。 例 如 ，MIB 使 用 下 述 定义 的 结构 来 表 
示 从 接口 处 收 到 的 通信 流量 字 节 《〈 用 八进制 表示 ) 。 











sysContact OBJECT-TYPE 
SYNTAX DisplayString (SIZE (60..255) ) 
ACCESS read-write 
STATUS mandatory 
DESCRIPTION 
"The textual identification of the contact person 


for this managed node,together with information 
on how to contact this person." 
::= { system 4 } 





上 面 列 出 的 代码 是 从 MIB-II 标准 文件 中 摘出 的 一 段 ， 它 使 用 了 一 
种 称 为 ASN.1 (Abstract Syntax Notation One， 抽 象 语法 标记 1) 的 
定义 语法 33 来 描述 ， 除 了 SNMP 的 MIB 之 外 ， 还 可 以 使 用 数字 签 
名 或 Kerberos、LDAP 等 认证 协议 。ASN.1 在 ISO8824 标准 文件 中 
进行 了 标准 化 ， 编 码 方式 〈 符 号 化 ) 在 ISO8825 文件 中 可 否 。 


MIB 的 文本 文件 一 般 会 按照 分 类 进行 描述 ，1 个 通信 设备 一 般 会 用 
到 几 十 个 MIB 文件 。MIB 文件 的 分 类 如 表 2-25 所 示 ， 分 为 接口 
用 、IP 用 、TCP 用 、BGP 用 等 ， 总 体 分 为 RFC 定义 的 标准 MIB 和 
各 厂商 独自 定义 的 私有 MIB 两 类 。 


标准 MIB 文件 分 为 由 RFC1156 定义 的 MIB-I[， 和 由 RFC1213 定义 
的 MIB-II， 目 前 广泛 使 用 的 是 MIB-II。MIB 文件 的 格式 则 分 为 由 
RFC1215 定义 的 SMIv1 和 由 RFC2578 定义 的 SMIV2 两 种 (SMI 是 
Structure of Management Information 的 缩写 ， 意 为 管理 信息 结 


构 ) 。 


表 2-25 标准 MIB 


interfaces 与 接口 有 关 的 信息 
PR 
IP 路 由 表 相关 信息 
IP 转 发 表 相关 信息 
gp 


























BD a 


frame-relay 帧 中 继 信 息 
sr 





ospfGeneralGroup OSPF 信 息 
ospfStubAreaTable 在 区 域 边缘 路 由 器 中 用 于 stub area 广 播 的 信息 
ospfLsdbTable 在 OSPF 过 程 中 表示 连接 状态 的 数据 库 信息 


器 连接 区 域内 的 地 址 范围 信息 
Ca | 直击 芝 接近 口 信息 






























































各 个 接口 的 服务 类 型 信息 3 
从 BGP4 中 接收 的 路 径 信息 








在 MIB 文件 中 管理 的 信息 称 为 托管 对 象 (Object) ， 其 中 包含 了 接 
口 的 了 PP 地址 、 路 由 协议 的 设置 情况 等 信息 。 


托管 对 象 都 有 属于 目 己 的 分 类 ， 如 接口 的 相关 信息 、OSPF 的 相关 
信息 、 传 感 句 〈CPU 或 温 控 管理 ) 的 相关 信息 等 。 


私有 MIB 一 般 会 将 各 类 别 的 MIB 信息 导入 扩展 名 为 “.my” 的 纯 文本 
文件 中 ， 然 后 公布 在 制造 三 商 的 Web 站 点 上 ， 一 般 会 有 像 
attack.my、 senser.my 这 样 的 多 个 分 散文 件 ， 所 以 会 以 归档 文件 (将 
所 有 分 散 的 文件 压缩 成 一 个 zip 包 ) 的 形式 公布 。 


如 末 使 用 了 某 广 商 的 路 由 器 设备 ， 当 想 要 得 询 该 路 由 器 私有 MIJIB 
时 ， 就 可 以 打开 该 三 商 的 Web 站点， 下载 该 路 由 器 所 使 用 的 MIB 
信息 文件 (zip 格式 ) ， 然 后 将 其 注册 到 SNMP Manager 中 ， 即 可 
使 用 该 SNMP 文件 中 提 到 的 托管 对 象 名 管理 网 络 人 硬件 。 


OID 


MIB 是 所 有 托管 对 象 的 集合 ， 而 托管 对 象 使 用 OID (Object ID， 对 
象 标识 ) 进行 区 分 。MIB 采用 树 形 构造 ，OID 则 采用 如 
1.3.6.1.2.1.1 这 样 数字 与 点 的 形式 来 描述 。 该 记 法 按照 从 左 到 右 的 
顺序 阅读 ， 如 iso (1) 中 的 org (3) 中 的 dod (6) 中 的 

internet (1) 中 的 mgmt (2) 中 的 MIB-I (1) 中 的 system (1) 。 














命令 行 追 踪 式 的 SNMP 应 用 程序 通过 消息 类 型 和 OID 的 组 合 来 执 
行 相关 操作 。 例 如 在 SNMP 管理 者 中 输入 以 下 命令 ， 


> snmp get 1.3.6.1.2.1.1.1 





就 能 获得 SNMP 代理 者 返回 的 1.3.6.1.2.1.1 的 MIB 值 。 
SNMP 管理 者 


有 很 多 SNMP 管理 者 相关 的 软件 产品 可 供 使 用 ， 如 UNIX 的 SNMP 
daemon (Snmpd) 、HP 公司 的 OpenView Network Node Manager、 
思科 公司 的 CiscoWorks 等 。 另 外 ， 在 Internet 上 还 有 TWSNMP、 
wSnmpTrap、SnmpCop 等 供 Windows 使 用 的 免费 SNMP 管理 者 软 
0 来 验证 ， 那 么 免费 的 SNMP 管理 者 软件 就 已 经 

金 了 。 


下 载 并 安装 SNMP 管理 者 软件 之 后 ， 输 入 SNMP 代理 者 的 IP 地 址 
等 设置 信息 ， 并 将 私有 MIB 信息 在 SNMP 管理 者 软件 中 进行 注 
册 。 另 外 ， 也 可 以 使 用 团体 名 将 需要 管理 的 SNMP 代理 者 信息 设 
置 在 SNMP 管理 者 软件 中 。 然 后 就 可 以 进行 各 种 操作 了 ， 比 如 从 
A 
红 计 全 她 等 


RMON 











SNMP 中 还 带 有 名 为 RMON (Remote network MONitoring， 远 程 网 
络 监控 ) 的 扩展 功能 。SNMP 代理 者 记录 LAN 上 的 通信 流量 信 
上 息 ， 并 将 其 保存 到 MIB 数据 库 中 。 当 SNMP 管理 者 请 求 这 类 信息 
代理 者 会 在 应 答 中 返回 该 类 信息 ， 从 而 实现 远程 网 络 监 
空 的 功能 。 


交换 机 除了 实现 SNMP 基本 功能 之 外 ， 还 必须 实现 RMON 探测 
Cprobe) 功能 《有 时 也 会 将 该 功能 独立 到 NetScout 这 类 专用 设备 

上 ) 。RMON 探测 功能 就 是 捕获 分 组 ， 解 析 后 收集 统计 信息 并 将 

其 保存 到 名 为 RMON MIB 的 MIB 数据 库 中 。SNMP 管理 者 通过 访 





问 RMON MIB 即 可 获取 相关 的 统计 信息 。 虽 然 SNMP 目 身 也 能 够 
在 一 定 程 度 上 获取 流 经 网 络 硬 件 接口 的 字 节 数 和 分 组 数 等 信息 ， 但 
使 用 RMON 获取 的 通信 统计 信息 更 为 详细 。 


RMON 和 其 他 收集 统计 信息 的 功能 ， 原 本 是 用 于 通过 监控 网 络 接 
入 的 通信 流量 ， 检 查 网 络 带宽 是 否 充足 、 东 些 网 段 流量 是 否 有 起 落 
寞 第 等 情况 ， 以 便 日 后 能 够 进行 一 些 增强 设备 性 能 、 优 化 服务 设置 
等 稳定 网 络 的 调整 。 


然而 最 近 ， 用 于 安全 方面 的 网 络 监控 越 来 越 多 ， 在 网 络 审计 记录 中 
会 记录 “ 谁 在 什么 时 候 访 问 了 什么 站 点 ”这 类 信息 。“ 谁 ”一 般 记 录 的 

是 MAC 地 址 或 IP 地 址 ， 但 如 果 连 接 了 认证 服务 器 的 话 ， 其 至 能 够 
记录 用 户 的 ID 信息 。 


RMON MIB 中 分 为 RMON-1 与 RMON-2 两 个 版 本 〈 表 2-26) 。 














表 2-26 RMON MIB 



































收集 物理 层 与 数据 链 路 层 的 通信 统计 信息 ， 与 MIB-I 的 接口 组 
(Interface Group ) 一 起 使 用 。 下 面 是 MIB 组 信息 


EE 


ethernet 通过 探测 功能 收集 每 个 以 太 网 接口 的 统 
statistics 息 





旺 呈 


让 信 4D 


history 三 人 a 
定期 抽样 调查 的 历史 统计 信息 

ethernet a 

和 以 太 网 有 关 的 历史 统计 信息 


a 在 某 个 时 间 段 内 ， 当 数据 量 超过 设置 的 
效 值 时 生成 的 告警 





RMON-1 
(RFC1757) 





host 与 每 个 主机 相关 联 的 统计 信息 


hostTopN | 在 交互 最 多 的 主机 间 生 成 的 统计 信息 


两 个 地 址 之 间 生 成 的 、 和 通信 相关 的 统 
i 


生成 作为 分 组 捕获 规则 的 过 滤器 


packet 阁下 秆 于 的 从 组 信 自 
根据 过 滤器 捕获 的 分 组 信息 








event 关于 事件 发 生 与 通知 的 信息 








用 于 获得 网 络 层 以 上 的 统计 信息 ， 属 于 RMON-1 的 扩展 。 下 面 
是 MIB 的 组 信息 


弥 | 有 | 


protocol 目 { 寺 本 /提亲 


oe 办 议 的 种 类 提供 统计 信息 






































address 日 4/ 兰 自 
人 提供 MAC 地 址 和 耳 地址 映射 信息 


network layer “| 各 网 络 地 址 的 统计 信息 
RMON-2 host 


(RFC2021) 
a layer | 两 个 网 络 地 址 之 间 的 统计 信息 


application 、 ee 
layer host 某 台 主机 上 各 应 用 程序 的 统计 信息 


application 两 个 网 络 之 间 各 应 用 程序 的 统计 信 
layer matrix 县 






































| 管理 历史 信息 ， 用 户 可 制定 管理 
we nstory | 时 间 间 陋 和 次 煞 


probe 用 j 容 洲 | 4 
configuration 里 探测 本 身 的 MIB 信 息 






























































管理 LAN 交 换 机 的 RMON 扩 展 标 准 ， 即 交换 监控 〈Switching 
Monitoring) ， 定 义 了 名 为 SMON ProbeCapabilities 的 MIB 组 信息 


SMON smonVlanStats “| 管理 IEEE 802.1Q 时 使 用 


(RFC2613) smonPrioStats 首 理 802.1Q 中 通信 流量 的 优先 级 


dataSourceCaps | 硬件 的 数据 源 


控制 交换 机 的 镜像 端口 






































[ny 
六 
> 








Interface 
Parameters 
Monitoring 


定义 了 名 为 IfTopN (interfaceTopNObjects) 的 托管 对 象 。If 表 示 
Interface，TopN 表 示 前 N 位 的 统计 信息 。 当 LAN 交 换 机 存在 多 个 














CRFC3144) | 端口 时 ， 从 中 抽取 负载 较 高 的 端口 进行 统计 


DSMON 差分 服务 监控 (Differentiated Services Monitoring) ， 能 够 对 
(RFC3287) |DSCP (differentiated services code point， 差 分 服务 代码 点 ) 优 
先 级 控制 进行 分 类 的 RMON 扩展 MIB 


大 流量 远程 网 络 监控 (High Capacity RMON ) ， 用 于 在 大 流量 























HSRMON 通信 环境 中 获取 通信 统计 信息 的 功能 扩展 。 将 32bit 的 统计 信息 
(RFC3273) | 计数 器 扩展 为 64bit， 将 最 大 统计 字 节 数 从 2 的 32 次 方 (42 亿 ) 指 
数 翻 倍 扩 展 为 2 的 64 次 方 





























扣 这 里 的 数据 库 仅仅 是 指 一 种 数据 的 管理 方式 ， 同 关系 型 数据 库 没有 任何 关系 。 一 一 译 
者 注 

















3 ASN.1 多 用 于 描述 异种 系统 之 间 进 行 通信 的 消息 格式 ， 也 是 用 BNF 符号 。 一 一 译 者 
注 


NetFlow、 sFlow 


虽然 很 多 交换 机 都 采用 RFC 标准 的 RMON， 但 是 在 进行 基于 MIB 
的 监控 时 ， 如 果 流 量 超过 100Mbit/s， 就 会 需要 占用 大 量 CPU 或 内 
存 等 资源 ， 不 仅 无 法 实现 内 容 全 部 监控 ， 而 且 获 取 大 量 数据 会 耗 时 
过 长 导致 数据 无 法 实时 解析 。 要 想 实时 获取 所 需 的 统计 信息 ， 就 需 
要 使 用 NetFlow 或 sFlow 技术 。 通 过 这 类 技术 可 以 获得 LAN 的 流 
量 内 容 信 息 ， 并 高 效 管理 网 络 性 能 。 








o NetFlow 





NetFlow 是 由 思科 公司 开发 的 通信 流量 管理 技术 ， 在 Linux 和 
Unix 系列 操作 系统 、Juniper 网 络 公司 和 ALAXALA 网 络 公 司 
的 网 络 便 件 上 也 可 实现 。 该 技术 对 通过 LAN 设备 的 分 组 进行 
识别 ， 将 与 “发 送 源 IP 地 址 “发送 目的 地 IP 地 址 关 发 送 源 端 
口 ”发 送 目的 地 端口 ”IP 协议 号 “输入 接口 “IP 的 ToS 值 ” 这 7 
个 参数 相 一 致 的 单 癌 传送 的 分 组 集合 定义 为 “数据 流 ”， 并 对 该 
数据 流 进 行 统计 。 随 后 ， 将 统计 结果 发 送 到 名 为 NetFlow 收集 
器 的 监控 装置 中 ， 就 能 够 以 地 址 或 协议 为 单位 进行 信息 的 二 次 
统计 (图 2-34) 。 


a LN “、 终端 


LAN 









NetFlow 
Exporter 


NetFlow 


Analyzer 
Collector 


互联 网 ” ,| Storage 


图 2-34 ” NetFlow 的 概念 图 


NetFlow 有 很 多 版 本 ， 最 新 的 版 本 NetFlow 9 是 以 RFC3954 的 
形式 发 布 的 。 另 外 ， 除 了 NetFlow 之 外 ， 其 他 厂商 还 实现 了 将 
通信 流量 以 数据 流 为 单位 进行 统计 的 技术 34 ， 不 过 这 些 技术 
均 是 在 NetFlow 9 的 基础 上 作为 IPFIX (IP Flow Information 
export) 在 RFC5105 中 完成 了 标准 化 。 





sFlow 


sFlow 是 由 InMon 开发 的 一 种 在 分 组 (packet) 抽样 基础 上 管 
理 通 信 流 量 的 技术 。 访 技术 版 本 4 的 细节 在 RFC3176 中 发 
布 ， 并 在 Foundry 公司 、 日 立 公 司 、HP 公司 以 及 Force10 
Networks 公司 (以 下 简称 为 Force10 公司 ) 3 的 LAN 交换 机 
产品 上 得 到 了 具体 的 实现 。 


sFlow 技术 可 以 监控 交换 机 上 通过 的 分 组 ， 并 在 一 定 周期 内 对 
其 进行 抽样 ， 获 得 分 组 首部 与 监控 到 的 分 组 的 统计 信息 《如 分 
组 总 数 、 字 节 总 数 等 ) ， 然 后 通过 交换 机 内 置 的 sFlow 代理 加 











sFlow 收集 器 上 报 (图 2-35) 。sFLow 收集 器 将 得 到 的 信息 按 
接收 发 方 地 址 类 型 、 协 议 类 型 等 进行 分 类 处 理 ， 能 够 统计 不 同 
类 型 的 通信 信息 。 在 交换 机 中 ，sFlow 的 监控 功能 与 RMON 相 
比 更 为 简单 一 点 ， 因 此 能 够 和 钥 入 到 ASIC 硬件 中 ， 也 能 够 进行 


高 速 通 信 。 


使 用 SNMP 与 MIB 
设置 sFlow 


SFlow 代 理 
( 交换 机 或 路 由 器 ) 


UDP/161 


> 
sFlow 
a UDP/6343 








通过 专用 硬件 对 经 过 的 分 组 定期 向 收集 器 发 送 
或 接口 计数 器 信息 进行 抽样 上 | 抽样 数据 


从 代理 处 获得 抽样 数据 并 进 
行 分 析 
迪 是 否 使 用 SNMP MIB 为 可 选项 


图 2-35”sFlow 的 概念 图 


34 如 Juniper 公司 的 Jflow 和 cflowd、3Com 公司 / 华为 公司 的 NetStream、 阿 尔 卡特 朗讯 
公司 的 Cflowd、 爱 立信 公司 的 Rflow、Citrix 公司 的 AppFlow 等 。 


| 加 该 公司 于 2010 年 被 戴尔 公司 收购 。 

Syslog 

Syslog 是 在 加 利 福 尼 亚 大 学 伯克利 分 校 的 但 元 利 软件 套件 (BSD， 
Berkeley Software Distribution〉 的 TCP/IP 系统 3 上 实现 的 ， 用 于 
获取 网 络 日 志 的 应 用 程序 ， 一 般 占 用 UDP 的 514 端口 。 


| 36 即 BSD Unix 操作 系统 。 一 一 译 者 注 


该 机 制 虽 然 没 有 通过 IETF 组 织 进 行 标准 化 ， 但 符合 业内 的 事实 标 
准 〈De facto standard) ， 所 以 在 很 多 操作 系统 上 都 进行 了 移植 ， 而 
日 在 RFC3164 协议 中 的 Information 一 节 也 有 对 于 该 机 制 的 介绍 


Syslog 的 运行 方式 同 SNMP 的 Trap 相似 ， 仅 仅 由 通信 设备 单方 面 
回 Syslog 服务 器 发 送 事件 消息 〈 图 2-36) 。 


路 由 器 等 Syslog 服 务 器 











ml 
ui 


图 2-36 ”Syslog 的 结构 


Syslog 消息 根据 其 重要 程度 分 成 不 同 的 级 别 ， 最 重要 的 级 别 为 0， 
不 重要 的 级 别 为 7， 一 共 分 成 8 级 ( 表 2-27) 。 


表 2-27 Syslog 消息 的 级 别 划 分 


加 
Emergency 〈 致 命 ) 系统 无 法 使 用 
需要 及 时 应 对 


























Error (异常 ) 出 现 异常 状态 


Waming 注意) 出 现 需 要 注意 的 事项 








下 Critical (和 危急) 出 现 和 危险 状况 














Notice (通告 ) 在 正常 范围 内 允许 的 特殊 状态 


一 Informational (信息 ) 告知 某 个 信息 的 消息 




















Debug (调试) 日 于 调试 的 消息 


在 实际 的 产品 中 可 以 设置 Syslog 日 志 从 哪个 级 别 开 始 记录 ， 当 设 
置 完毕 后 ， 该 级 别 以 上 的 所 有 日 志 信 息 均 会 告知 服务 右 


A Cisco IOS 中 进行 以 下 设 定 ， 从 级 别 0 至 级 别 6 的 所 有 日 志 
言 轧 均 会 送 到 Syslog 服务 器 。 








router (config) # logging trap 6 





Syslog 除了 级 别 以 外 ， 还 有 一 个 名 为 设施 〈facility) 的 设置 项 ， 用 
来 告知 系统 在 何 处 生成 日 志 。Facility 能 够 定义 内 核 、 邮 件 系统 、 
FTP 守护 进程 、NTP 和 内 部 使 用 的 local0~local7 等 值 ， 详 细 内 容 可 
以 参考 RFC3164 协议 。 


Syslog 的 消息 格式 如 下 所 示 。 


mm/dd/yyy :hh/mm/ss:facility-severity-MNEMONIC:description 
(月 /日 /年 /时 /分 / 秒 : facility-level-event 类 型 说明) 








举 个 具体 的 例子 。 





12/26/2663,16:66:15:SYS-5-MOD_INSERT: Module 5 has been inserted 


[L 


其 中 “12/26/2003,16:00:152” 表 示 日 期 与 时 间 ，SYS-5-MOD_INSERT 
中 通过 “-” 分 割 信息 ，SYS 表示 facility 名 称 ，5 表示 级 别 ， 
MOD_INSERT 表示 事件 类 型 (mnemonic code， 助 记 符 ) ， 最 后 
的 “Module 5 has been inserted” 表 示 事 件 描 述 。 


Syslog 和 SNMP 同属 于 管理 类 型 的 协议 ， 考 虑 到 实时 性 的 要 求 ， 一 
般 采 用 UDP 来 实现 。 但 在 某 些 硬件 中 也 有 采用 TCP 来 实现 的 例 
子 ， 这 时 就 需要 在 Syslog 服务 器 以 及 发 送 事件 的 硬件 上 配置 必要 
的 Syslog 端口 。 








在 FreeBSD 以 及 Linux 中 一 般 使 用 syslogd 这 一 守护 进程 来 实现 
Syslog 的 相关 功能 。 


02.09 ”交换 机 架构 


交换 机 的 基本 架构 是 由 带 有 多 个 RJ-45 接口 、PHY、MAC 等 模块 
的 网 络 接口 控制 器 (Network Interface Controller， 简 称 NIC) 和 管 
理由 各 个 NIC 分 配 的 收发 帧 缓存 、 转 发 表 的 软件 〈 或 ASIC) 组 
成 ， 通 过 参考 转发 表 信 息 ， 在 NIC 之 间 进 行 数据 帧 交互 。 


图 2-37 展示 了 交换 机 的 基本 架构 。 





MAC 地 址 端口 号 有 效 期 限 
00:11:22:aa:bb:cc 1 300 秒 





帧 缓存 学 习 ( Learning ) 帧 缓存 
“学 习 发 送 方 的 MAC 地 址 


* 向 转发 表 中 添加 信息 
转发 ( forwarding ) 


“识别 目的 地 MAC 地 址 
“ 搜索 转发 表 
“ 像 发 送 源 端口 转发 数据 帧 





图 2-37 交换 机 的 基本 架构 
02.09.01 网 络 控制 器 (LAN 控制 器 ) 
在 个 人 计算 机 和 网 络 硬件 内 部 ， 均 有 一 种 叫做 网 络 控制 器 《或 称 为 


LAN 控制 器 ， 缩 写 为 NIC) 的 模块 。 该 控制 器 能 够 将 数据 转换 成 
以 太 网 数据 帧 ， 以 10/100/1000BASE-T 标准 通过 接口 进行 数据 传 
输 。 网 络 控 制 器 的 概念 图 如 图 2-38 所 示 ， 控 制 器 有 多 个 端口 〈 或 
多 个 端口 模块 单元 ) 。 


ee 由 网 络 接口 、PHY 模块 、MAC 模块 和 总 线 接口 构 








单一 端口 的 LAN 控 制 器 


8/16/32bit 
通用 总 线 、 


10/100B TX、 
100Base SX、 











PCI 总 线 、 10Base SL 
SPI 总 线 
连 至 网 络 
设备 的 CPU 
物理 端口 
、 双 端口 LAN 控 制 器 10/100B TX、 
8/16/32bit et 
通用 总 线 、 
PCI 总 线 、 
SPI 总 线 冯 
[aa Su 
连 至 网 络 各 物理 端口 
设备 的 CPU 入 
(ge 
物理 端口 


图 2-38 网 络 控制 右 概 念 图 
02.09.02 PHY 模块 


以 太 网 物理 层 与 数据 链 路 层 的 MAC 子 层 相关 协议 功能 的 实现 一 般 
会 使 用 对 应 标准 的 处 理 忌 片 “集成 电路 ) 来 完成 。 


负责 对 以 太 网 进行 编码 等 物理 层 处 理 的 模块 就 叫做 PHY。 


图 2-39 是 PHY 的 逻辑 图 ， 展 示 了 PHY 中 有 哪些 功能 以 及 这 些 功 
能 是 按 什 么 顺序 进行 处 理 的 。 表 2-28 中 则 展示 了 100BASE-TX 标 


准 中 PHY 模块 内 部 的 处 理 流程 。 





广发 送 






转换 扰 码 


i 
~ 


100BASE-FX 接 收 100BASE-FX 
器 、 时 钟 翻转 、NRZI DPECL| 二 一 一 
向 NRZ 转换 
BASE-TX 
MLLT-3 向 二 发 F Ww 
hs 六 受信 
之 1 
由 | 10BASE-T 
曼彻斯特 解码 OM | OBASET 
J 


DPECL : Differential Positive Emitter-Coupled Logic ( 差分 正 射 极 厢 合 逻 辑 电路 ) 
PLL : Phase-locked loop ( 锁 相 环 ) 

FEFI :，Far End Fault Indication ( 链 路 远 端 故 障 指示 信号 ) 

D/A : 数 模 转换 

AD : 模 数 转换 













图 2-39 10/100BASE 以 大 网 的 PHY IP37 核心 


| 37 这 里 的 了 P 是 指 Intellectual Property， 为 芯片 行业 支持 产权 设计 。 一 一 译 者 注 


表 2-28 100BASE TX 标准 中 的 发 送 与 接收 处 理 概要 


” 发 居 全 4658 编 但 器 格式 化 
、|2. 发 送 至 4B5B 编码 器 格子 
100BASE-TX 的 发 3. 发 送 至 扰 码 器 编 码 



































送 处 理 4. 转发 至 TP 发 送 器 ， 转 换 为 MLT-3 格式 
5. 形成 输出 信号 在 双 绞 线 上 传输 


1. 从 双 绞 线 上 接收 到 MLT-3 数据 
i 于 
3. Squelch algorithm 算法 控 币 数据 ， 完 成 MLT-3 
100BASEJX 的 接 | 编码 信号 的 数字 化 
证 4. 在 时 钟 与 数据 恢复 区 内 完成 NRZ 格式 的 转换 
5. 在 Descrambler 中 完成 解 扰 码 ， 并 完成 4B5B 解码 
6. 在 以 太 网 控制 器 上 输出 























如 表 2-29 所 示 ，PHY 负责 L1 (物理 层 ) 的 处 理 ， 分 成 三 个 子 层 完 
成 L2 (数据 链 路 层 ) 中 MAC (Media Access Control， 媒 介 访 问 控 
制 屋 ) 以 下 的 处 理 (图 2-40) 。 


表 2-29 PHY 的 地 位 


EAC 


完成 MAC 数 据 帧 的 编码 。 在 100BASAE-TX 中 完 
成 4B/5B 编 码 、 标 明 数 据 首部 与 结尾 、 插 入 12 字 
节 〈96bit) 的 数据 帧 分 割 标识 IFG (Inter-Frame 

















PCS (Physical 


PMA (Physical | 在 数据 发 送 前 将 并 行 转换 为 串 行 (将 从 并 行 链 路 
Medium 获得 的 数据 序列 变换 为 单个 串 行 的 比特 流 ) 以 及 
Attachment) 在 接收 数据 后 将 串 行 转换 为 并 行 
在 数据 发 送 前 调制 串 行 比特 流 信 号 ， 使 信号 适合 
在 双 绞 线 或 光纤 等 媒介 上 传输 。 另 外 ， 在 接受 数 
据 之 后 还 负责 放大 信号 。 在 100BASE-TX 中 ， 将 2 
值 信号 转变 成 MLT 的 3 值 信号 


























Loe) 


it 符 号 


史 


传输 媒介 


图 2-40 PHY 与 MAC 的 处 理 


02.09.03 MAC 模块 


MAC 模块 负责 生成 MAC 数据 帧 等 在 数据 链 路 层 MAC 子 层 中 进行 
的 工作 ， 该 模块 也 简称 为 MAC。 


MAC 模块 负责 MAC 数据 帧 发 送 和 接收 的 处 理工 作 ， 拥 有 发 送 组 
存 和 接收 缓存 。 在 接收 MAC 数据 帧 是 ， 从 通信 线 绕 上 接收 的 数据 
在 通过 MAU (10Mbit/s 以 太 网 ) 或 PHY (快速 以 太 网 ) 时 ， 会 被 
保存 在 接收 缓存 中 ， 因 此 这 里 的 MAU 和 PHY 也 可 称 为 接收 器 。 
随后 ， 这 些 数据 会 通过 数据 总 线 接口 被 送 到 硬件 (DTE ) 内 部 进行 
处 理 。 而 在 发 送 MAC 数据 帧 时 ， 数 据 则 走 与 上 述 截然 相反 的 路 
径 。 图 2-41 给 出 了 在 干 兆 以 太 网 中 MAC 模块 的 逻辑 结构 图 。 


识别 地 址 


10/10/1000 


送 到 GMIVMII 






流向 1G Pee 
PMA 接口 物理 接口 
10/10/1000 发 送 
和 一 | 发 送 MAC FIFO ”| 和 一 -一 
队列 





处 理 
管理 MI 


图 2-41 千 兆 以 太 网 中 MAC 的 IP 核心 逻辑 结构 图 
02.09.04 AUI 与 MII 
MAC 模块 与 PHY 模块 之 间 的 接口 根据 以 太 网 、 快 速 以 太 网 、 千 兆 


以 太 网 的 不 同 ， 分 别 可 以 称 为 AUI、MII 和 GMII (如 图 2-42、 表 
2-30) 38， 














38 早期 以 太 网 传输 媒介 众多 ，PHY 相对 独立 ，MAC 则 相对 通用 ， 二 者 可 能 分 别 位 于 不 
同 硬件 中 。 一 一 译 者 注 


100Mbit/s: MI 
10Mbit/s: AUI 





|< 一 转换 器 一 一 一 MDI 


ay 100BASE-FX 
PHY ' 徊 光纤 


4B5B 编 码 *FUII Duplex 


MAC- 一 一 > 









MII 线 缆 


100Mbis 的 司 lO | 0 6m) 


交换 式 集线器 








100BASE-TX 


UTP/Cat.5,STP 
4B5B 编 码 "Auto-Nego 





















100BASE-T4 
es 
8B6T 编 码 "Auto-Nego 
10Mbit/s 的 
中 继 集线器 | 加 AUI 线 纺 10BASE-5 
AUI ( 最 长 50m ) 同 轴 电缆 
( 曼彻斯特 编码 






图 2-42 MAC 与 PHY 之 间 的 接口 


表 2-30 MAC 与 PHY 之 间 的 接口 术语 


在 10Mbits 以 太 网 中 MAC 与 MAU 的 共同 接口 ， 采 用 15pin 的 连接 头 
(DB-15) 。 某 些 早期 的 路 由 器 和 集线器 设备 会 外 置 该 AUI 端 口 〈 也 称 
为 10BASE5 接 口 ) ， 但 目前 的 硬件 几乎 都 采用 了 内 置 的 形式 





AUI (Attachment 


Unit Interface， 


附加 接口 单元 ) 


MAU (Media 
Access Unit， 媒 
介 访 问 单元 ) 


MI (Media 
Independent 
Interface， 媒 介 


独立 接口 ) 


GMII (Gigabit 
Media 
Independent 
Interface， 千 兆 
媒介 独立 接口 ) 








AUI| 妆 口 





完成 接收 和 发 送 10Mbit/s 以 太 网 数据 的 转换 器 装置 。 分 为 10BASE-T 
MAU、 10BASE5 MAU、 10BASE2 MAU 





10BASE5/10BASE2 转换 的 MAU 10BASE5/10BASE-T 转换 的 MAU 





快速 以 太 网 中 的 MAC 与 PHY 之 间 的 接口 ， 相 当 于 10Mbit/s 以 太 网 中 
MAC 与 MAU 之 间 的 AUI。 在 100BASE-T4 中 需要 完成 8B6T 编 码 ， 在 
100BASE-TX 和 100BASE-FX 中 需要 完成 4B5B 编 码 〈 即 根据 传输 媒介 
的 不 同 转换 不 同 的 编码 方式 ) ， 因 此 使 用 MII 将 设备 接 入 以 太 网 并 不 
依赖 于 传输 媒介 。 在 实际 产品 中 ，NIC 网络 接口 控制 器 ) 上 MAC 与 
PHY 的 接口 部 分 ，MAC 层 通常 保持 不 变 ， 只 根据 传输 媒介 的 不 同 蔡 换 
掉 物 理 接口 部 分 即 可 

















在 干 兆 以 太 网 和 万 兆 以 太 网 中 ， 和 MII 作 用 相同 的 接口 


和 HH 工 /> [六 人 已 
第 3 章 路 由 器 和 它 庞 大 的 功能 
本 章 将 介绍 路 由 器 的 历史 、 和 种类、 功能、 架构 等 内 容 。 

希望 大 家 可 以 通过 本 章 的 内 容 理 解 路 由 器 产品 目录 中 列 出 的 条 
目 。 


另外 ， 本 章 还 会 复习 一 些 卫 寻 址 、 路 由 的 内 容 。 
人 
准 。 


03.01 何 为 路 由 人 需 


路 由 器 是 指 主要 负责 OSI 参考 模型 中 网 络 层 的 处 理工 作 ， 并 根据 路 
由 表 信息 在 不 同 的 网 络 之 间 转 发 IP 分 组 的 网 络 硬件 〈 图 3-1) 。 这 
里 的 网 络 一 般 是 指 IP 子 网 ， 也 可 以 称 为 广播 域 。 此 外 ， 现 在 的 路 
由 絮 还 会 搭载 其 他 各 种 各 样 的 功能 。 





OSI 参考 模型 TCP/IP 分 层 模型 网 络 硬件 


应 用 层 防 火 墙 、 
L7 交 换 机 、 
IDS/IPS 等 
表示 层 





数据 链 路 层 








物理 层 





图 3-1 OSI 参考 模型 与 所 对 应 的 网 络 人 硬件 


03.01.01 路 由 器 的 必要 性 


在 茶 个 组 织 的 内 部 网 络 中 ， 如 果 其 中 的 一 个 LAN 希望 连接 男 一 个 
LAN， 束 需要 使 用 路 由 器 设备 。 男 外 ， 构 建 大 型 的 LAN 时 虽然 可 
以 不 用 路 由 需 ， 但 需要 使 用 交换 机 或 主机 等 设备 来 管理 大 量 的 

MAC 地 址 信息 ， 不 过 ， 当 频繁 进行 广播 通信 时 ， 设 备 的 负担 就 会 
非常 大 。 这 种 情况 下 ， 为 了 减轻 设备 的 负担 ， 需 要 将 LAN 划分 成 
一 个 个 子 网 ， 而 每 一 个 子 网 之 间 的 通信 惑 需 要 依靠 路 由 器 进 行 了 。 


在 为 了 连接 互联 网 而 与 互联 网 服务 供应 商 建立 连接 时 ， 也 同样 需要 
用 到 路 由 器 设备 。 











03.01.02 ”什么 是 路 由 选择 
路 由 器 进行 卫 分 组 路 径 选 择 的 处 理 即 为 路 由 选择 (routing) 。 


路 由 器 从 输入 接口 处 收 到 IP 分 组 后 ， 根 据 其 首部 包含 的 发 送 目的 
地 址 信息 进行 路 径 选择 ， 并 按照 选择 结果 将 卫 分 组 转发 到 流出 接 
口 处 。 其 中 转发 的 路 线 叫 做 路 径 ， 而 路 由 器 在 路 由 选择 处 理 时 所 参 
考 的 信息 叫做 路 由 表 (routing table) ( 表 3-1) 。 路 由 器 通过 这 些 
信息 可 以 决定 将 收 到 的 卫 分 组 转发 到 哪个 网 络 。 路 由 表 由 多 个 路 
由 表 表 项 构成 ， 其 中 每 个 表 项 都 可 以 由 管理 者 手动 设置 〈 即 静态 路 
由 ) ， 也 可 以 根据 路 由 协议 上 自动 生成 〈 即 动态 路 由 ) 。 


表 3-1 和 路 由 有 关 的 术语 


路 径 《route) 路 由 器 转发 分 组 的 路 径 

















路 由 选择 路 由 器 进行 下 分 组 路 径 选 择 的 处 理 。 在 完成 路 径 选 择 后 ， 将 
(routing) 分 组 发 送出 去 ， 这 一 过 程 称 为 转发 〈forwarding ) 





路 由 表 表 项 
《routing table 
entry ) 





路 由 器 在 进行 路 由 选择 时 参考 的 路 径 信息 ， 由 目的 网 络 与 下 
一 跳 “Next Hop) 构成 












































路 由 表 (routing | 路 由 表 表 项 的 集合 体 ， 路 由 器 进行 路 由 选择 处 理 时 需要 参考 
table) 该 表 内 容 


























路 由 选择 处 理 在 网 络 层 中 完成 ， 其 过 程 如 图 3-2 所 示 。 


IP 地 址 控制 ( 路 由 选择 ) 
maa a》 
MAC 地 址 控制 
( 桥接 ) | 





IP 子 网 的 范围 ( 广播 域 ) 
图 3-2 OSI 参考 模型 中 路 由 选择 发 生 的 位 置 
03.01.03 ”转发 
路 由 选择 的 处 理 需要 根据 目的 地 IP 地 址 中 的 信息 ， 判 断 将 分 组 转 
发 到 哪个 网 络 。 发 送 至 不 同 网 络 就 是 指 在 路 由 器 中 的 某 个 流入 接口 
处 接收 分 组 ， 然 后 将 其 发 送 到 其 他 的 某 个 流出 接口 。 
将 分 组 从 流入 接口 发 送 到 流出 接口 的 物理 发 送 过 程 叫做 转发 (图 3- 
ee 





| 存在 重复 路 径 的 话 ， 依 据 管辖 距 | 
离 ( Administrative Distance ) 


| 选择 对 应 的 表 项 / 


i 







路 由 表 






f 根据 最 长 距离 信息 | 
| 选择 输出 目标 


CC 
转发 处 理 ， | 一 一 
输入 分 组 流 输出 分 组 流 


图 3-3 转发 的 组 成 结构 

03.01.04 ”路 由 器 的 功能 

路 由 器 的 主要 功能 如 表 3-2 所 示 。 有 具体 功能 请 参考 03.06 市 。 
表 3-2 路 由 器 的 主要 功能 















管理 静态 路 由 和 动态 路 由 。 从 相 邻 路 由 器 处 获得 路 由 更 新 信 
息 ， 向 相 邻 路 由 器 发 送 路 由 更 新 信息 











处 理 、 队 列 以 及 判断 分 组 是 否 可 以 转发 。 对 比比 较 列 表 和 分 
组 ， 执 行 相关 控制 操作 





封装 用 于 输出 的 L2 数 据 ， 计 算 L3 的 校 验 总 和 ， 更 新 TTL1 以 
及 HOP 数 























集 统计 信息 接口 的 统计 信息 、Telnet、SNMP、ping、trace route、HTTP 








1TTL 是 IP 协议 包 中 的 一 个 值 ， 是 网 络 判断 分 组 在 网 络 中 的 时 间 是 否 太 长 、 是 否 应 被 丢 
弃 的 依据 。 一 一 译 者 注 








03.02 ”路 由 器 是 如 何 诞生 的 


路 由 喜 的 诞生 与 互联 网 的 诞生 有 着 密切 的 关系 。1962 年 ， 保 罗 : 巴 
兰 “ 接 受 了 美国 空军 的 委托 ， 开 始 研 发 一 个 项 目 。 这 个 项 目 旨 在 研 
发 美军 在 遭受 核 打 击 后 能 够 迅速 组 织 反击 的 通信 网 络 系统 ， 而 该 项 
目 也 成 为 了 互联 网 研究 的 开端 。 


2 Paul Baran， 当 时 他 就 职 于 美国 RAND 公司 。 一 一 译 者 注 











该 项 目 所 研发 的 通信 网 络 系统 并 没有 使 用 当时 较为 流行 的 、 应 用 于 
电话 系统 中 的 线路 交换 方式 ， 而 是 采用 了 现在 互联 网 依然 使 用 的 分 
组 交换 方式 。 该 交换 方式 以 分 组 为 单位 分 着 信 息 ， 并 不 断 地 疝 通信 
人 直到 对 方 收 到 为 止 ， 在 当时 这 是 一 个 非常 可 靠 的 通 


2 0 RE RIG LS Ne 
容 记 录 了 A Summary of the IMP Software (IMP 软件 的 总 结 ) ， 其 
中 的 IMP (Interface Message Processor， 接 口 信 息 处 理 器 ) 4 是 指 由 
美国 BBN 公司 ” 开发 的 分 组 交换 设备 ， 也 就 是 路 由 器 的 原型 。 同 
年 10 月 ， 加 利 福 尼 亚 大 学 洛杉矶 分 校 与 斯 坦 福 研究 所 之 间 使 用 
IMP 完成 了 首次 数据 传送 。 同 年 12 月 ， 随 着 加 利 福 尼 亚 大 学 圣 巴 
巴 拉 分 校 和 犹他 大 学 的 加 入 ，4 所 学 校 的 网 络 成 功 实现 了 互联 ， 阿 
帕 网 (ARPANET) 5 诞生 。 
































3 RFC 是 制定 互联 网 相关 技术 标准 的 团体 IETE 正式 发 布 时 使 用 的 文件 ， 某 种 程度 上 来 
说 该 文件 也 是 建议 书 。 























4 如 果 计 算 机 的 型 号 和 绑 定 的 软件 类 型 不 统一 ， 即 使 将 计算 机 连接 在 一 起 也 是 无 法 进行 
互联 的 ， 因 此 必须 按照 计算 机 类 型 制作 相应 的 软件 。 但 为 了 帮助 计算 机 互联 而 编写 数量 
庞大 的 软件 显然 也 是 不 现实 的 。 这 时 ， ot 和 IMP 连接 的 软件 ， 并 且 
IMP 之 间 也 有 相互 连接 的 软件 的 话 ， 通 过 IMP 这 一 设备 就 可 以 完成 网 络 的 扩容 。 













































































3 现 为 美国 著名 军火 商 雷 神 公司 的 子 公司 。 一 一 译 者 注 


























6 美国 国防 部 中 的 ARPA 〈 高 级 研究 计划 署 ) 以 军事 为 目的 构建 的 ARPANET， 含 义 为 
ARPA 的 网 络 ， 因 此 称 为 ARPANET 〈 阿 帕 网 或 ARP Network) 。1973 年 时 连接 的 所 有 
主机 信息 可 以 参考 RFC597 中 的 记录 。 














1971 年 ， 阿 由 网 的 连接 节点 达到 了 15 处 ，1972 年 达到 了 23 处 。 
其 中 ， 无论 是 美国 的 大 学 还 是 研究 机 构 等 ， 所 有 的 连接 均 通 过 IMP 
实现 。 


1972 年 ， 在 ARPA 任职 的 鲍 勃 . 卡 恩 ” 开始 构思 一 种 仅 用 于 分 组 转 
发 的 特殊 计算 机 ， 他 把 这 种 计算 机 称 为 Gateway。 随 后 ， 他 和 斯 坦 
福 大 学 的 温 顿 . 瑟 夫 8 共同 在 1974 年 发 表 了 TCP (Transmission 
Control Protocol， 传 输 控 制 协 议 ) 协议 全 文 。 当 时 的 Gateway 即 现 
在 的 路 由 器 ，TCP 协议 几经 修订 ， 己 成 为 TCP/IP 的 重要 组 成 部 


pa 








”罗伯特 : 埃 利 奥 特 : 卡 恩 (Robert Elliot Kahn，1938 年 12 月 23 日 一 ) ， 多 称 为 饱 勃 : 卡 
恩 (Bob Kahn) 。 译 者 注 


























8 温 顿 . 瑟 夫 〈Vinton G. Cerf) 博士 是 谷歌 公司 副 总 裁 兼 首 席 互联 网 专家 ， 同 鲍 勃 并 称 
为 “互联 网 之 父 ”。 译 者 注 




















在 TCP 出 现 以 前 ， 是 使 用 NCP (Network Control Protocol， 网 络 控 
制 协议 ) 协议 将 计算 机 互联 的 ， 但 由 于 没有 TCP/IP 那样 完备 的 地 
址 体系 ， 因 此 仅 适 用 于 小 型 网 络 。1982 年 ， 使 用 NCP 进行 互联 的 
主机 被 TCP/IP 取代 9 。 


9 目前 的 PPP 协议 也 包含 了 称 为 NCP 的 协议 ， 但 是 与 这 里 的 NCP 是 截然 不 同 的 概念 。 





需要 补充 的 是 ， 此 时 计算 机 的 互联 不 仅 局 限于 使 用 IMP，DEC 公 
司 的 PDP-11、HP 公司 的 HP-3000 和 VAN 等 小 型 计算 机 上 通过 
UNIX (C 语言 ) 实现 的 网 关 也 被 投入 使 用 。 


03.02.01 世界 上 最 早 的 商用 路 由 器 


1986 年 1 月 ， 美 国 的 Proteon 公司 卫 发 布 了 首 款 商用 路 由 器 
ProNET p4200 (图 3-4) 。 同 年 3 月 ， 美 国 的 思科 公司 发 布 了 AGS 
多 协议 路 由 器 (图 3-5) 。 这 些 产 品 均 是 作为 专用 人 硬件 (网 络 设 
备 ) 出 现在 市 场 上 。 


10 目前 有 关 该 公司 的 资料 极 少 ， 但 领 英 (LinkedIn)〉 宣称 它 曾 是 最 大 的 路 由 器 市 场 份额 
占有 者 。 一 一 译 者 注 












































图 3-5 思科 公司 的 AGS 


1993 年 ， 思 科 公 司 发 布 了 处 理 能 力 达 到 270kpps 的 Cisco 7000 系 

列 ， 并 将 其 作为 高 端 产 品 推 向 市 场 。 该 路 由 器 配备 了 宛 余 电源 、 文 
持 热 交换 的 线 卡 、 使 用 闪存 来 存放 操作 系统 来 进行 设备 的 管理 ， 所 
支持 的 协议 也 不 再 仅仅 局 限于 IP 协议 ， 还 能 支持 SNAL 、IPX1? 

、DECnetl3 、AppleTalk 等 非 IP 协议 。 











11 sSNA 是 IBM 公司 开发 的 网 络 体 系 结构 ， 在 IBM 公司 的 主机 环境 中 得 到 广泛 的 应 用 。 
一 一 译 者 注 








12 IPX (Internetwork Packet Exchange protocol) 是 一 个 专用 的 协议 复 ， 主 要 是 Novell 
NetWare 操作 系统 使 用 。 一 一 译 者 注 











| 2 DECnet 是 美国 数字 设备 公司 推出 并 支持 的 一 组 协议 集合 。 一 一 译 者 注 





之 后 ， 随 着 互联 网 的 快速 普及 ， 市 场 对 能 够 高 效 处 理 通信 流量 路 由 
右 的 需求 也 越 来 越 迫 切 。 思 科 公 司 在 1997 年 发 布 了 Cisco 12000 系 
列 ， 该 系列 产品 能 够 支持 OC-48M (2.4Gbit/s) 以 及 千 兆 以 太 网 接 
口 ，IP 通信 流量 的 转发 能 力也 达到 了 25Mpps。 该 路 由 器 产品 没有 





使 用 以 往 共 孚 总 线 的 交换 方式 ， 而 是 采用 了 交叉 总 线 交 换 ， 使 得 多 
块 线 卡 可 以 并 行 、 高 速 地 转发 通信 流量 。 


4 即 光学 载波 48。 一 一 译 者 注 








1998 年 ，Juniper 网 络 公 司 开 始 销 售 M40 系列 路 由 器 ， 该 路 由 器 搭 
载 了 能 够 高 速 处 理 分 组 转发 的 ASIC 心 片 ， 处 理 能 力 达 到 
40Mpps。 同 年 ， 日 立 制作 所 也 开始 研发 使 用 交叉 总 线 交 换 的 分 布 
式 转发 架构 路 由 器 GR2000。 


2004 年 ， 思 科 公 司 开始 销售 面 同 电信 运营 丙 的 路 由 器 CRS-1。 该 
产品 在 1 个 机 框 内 搭载 16 块 线 卡 ， 人 处理 能 力 达 到 1.2Tbits。 而 且 
如 果 在 机 框 内 进行 集群 ， 甚 至 能 使 单一 系统 的 处 理 能 力 达 到 
92Tbit/s ( 表 3-3) 。 


表 3-3 商用 路 由 器 的 历史 




















1969 | 贝尔 实验 室 开 始 开发 UNIX 操 作 系 统 发 布 最 早 的 RFC 文 档 


74 at rr 




















UUCP (Unix to Unix 


发 布 DIX 以 太 网 标准 
1980 发 布 UDP 协 议 
(RFC768) 


发 布 卫 协 议 (RFC791) 





1981 


1991 


美国 开始 建立 BITNET 与 CSNET”? 


欧洲 开始 了 启动 EUnet 


ARPANET 开 始 引 入 TCP/IP 


JUNET (Japan University Network) 开始 建设 引入 
互联 网 中 的 域名 系统 


美国 开始 建立 NSFNET 

Proteon 公 司 发 布 世界 上 第 一 台 商 用 路 由 器 ProNET 
p4200 

思科 公司 发 售 AGS (Advanced Gateway Server) 路 
由 器 产品 




















IANA 〈 互 联网 数字 分 配 机 构 ) 蕊 建立 


CERN 〈 欧 洲 核 子 研 究 组 织 ) 开创 了 Web 概 念 











Kalpana 公 司 发 售 世界 上 第 一 台 交 换 式 集线器 
EtherSwitch 





发 布 TCP 修 订 版 
(RFC793) 


IEEE 

802.3 (10BASE5) 
Telnet (RFC854) 
DNS (RFC882) 


发 布 FTP 修 订 版 
(RFC959) 


发 布 DNS 修 订 版 
(RFC1034、 
RFC1035) 


IEEE 
802.3a (10BASE?2) 
RIP (RFC1058) 


IEEE 802.3i (10BASE- 
T) 
SNMP (RFC1157) 


OSPF 版 本 


2 (RFC1247) 


1992 | Windows 3.1 开 始 销售 NTP (RFC1305) 


思科 公司 发 布 高 端 路 由 器 Cisco7000 系 列 
1993 DHCP (RFC1531) 
NFS (美国 国家 基金 会 ) 设立 InterNIC 
日 本 设立 JPNIC 
开发 Web 浏 览 器 Mozaic 








Cisco2500 系 列 。 

开始 应 用 IP 多 播 技术 。 此 后 的 路 由 器 开始 使 用 QoS 
的 相关 技术 。 

发 售 Web 浏 览 器 Netscapte Navigator 1.0 





Bay Networks 公 司 发 售 搭载 VLAN 功 能 的 以 太 网 交 

换 机 28115 

思科 公司 发 售 面 癌 小 规模 办 公用 的 路 由 器 产品 
1994 








思科 公司 发 售 首 个 搭载 了 多 块 千 兆 以太 网 少 板 和 | BGPR 丰 4 (REC1771) 
POS (Packet Over SONET) 接口 的 Cisco7500 系 列 
路 由 器 

思科 公司 发 售 首 个 L3 交 换 机 Catalyst 5000 系 列 产 品 
Windows 95、Internet Explorer 开 始 在 市 场 上 销售 





YAMAHA 发 售 ISDN 远 程 路 由 器 RT100i 
IEEE 
802.3u (100BASE- 
1995 TX) 


思科 公司 开始 发 售 使 用 交叉 总 线 交 换 技术 的 


1996 | Cisco12000 路 由 器 POP3 (RFC1939) 
Juniper Networks 公 司 创 江 


思科 公司 的 Cisco2500 系 列 路 由 器 销售 量 达 到 100 万 

人 

| 六 上 
1997 | 开发 MPLS (Multiprotocol Lable Switching， 多 协议 发 布 DHCP 修 订 版 


























(RFC2131) 


标签 交换 ) 
开发 L3 交 换 机 


IEEE 802.3z (10BASE- 
又 ) 
OSPF 版 本 2 修订 版 
Juniper Networks 公 司 开 始 销售 M40 路 1 (RFC2328) 
1998 | Melco 公 司 〈 现 Buffalo 公 司 ) 开始 销售 | IPSec 版 本 























集线器 LSW10/100-8 2 (RFC2401) 
RIP 版 本 2 (RFC2453) 
IPv6 修 订 版 
(RFC2460) 


IEEE 
802.3ab (1000BASE- 
T) 

1999 HTTP1.1 修 订 版 
(RFC2616) 
OSPF for 
IPv6 (RFC2740) 


2000 | Juniper Networks 公 司 开始 销售 M160 产 品 发 布 RADIUS 履 训 成 








(RFC2865) 


2001 MPLS (RFC3031) 


SIP 修订 版 
2002| YAMAHA 发 售 VPN 路 由 器 RTX1000/RTX2000 (RFC3261) 




















Juniper Networks 发 售 路 由 器 T640 系列 SNMP 修订 版 
(RFC3411~RFC3418) 





IEEE 
802.3ae (10GBASE- 
2003 R) 
RTP 修订 版 


(RFC3550) 





思科 公司 发 售 高 端 路 由 器 CRS-1 
思科 公司 发 售 集成 多 业务 路 由 器 
2004|ISR (Cisco1800/2800/3800 系列 ) 
日 立 制 作 所 和 日 本 电气 成 立 合 资 公 司 ALAXALA， 
开始 销售 高 端 路 由 器 AX7800R 系列 
































IEEE 
802.3an (10GBASE- 
加 总 工 ) 
八 人 4 省 食 
2006|YAMAHA 公司 开始 销售 RTX3000 BGP4 修订 版 
(RFC4271) 

TLS1.1 (RFC4346) 

2007 | Juniper Networks 发 售 T1600 路 由 器 | 
SMTP 修订 版 

2009 思科 公司 发 售 集成 多 业务 路 由 器 ISR 

G2 (Cisco1900/2900/3900 系列 ) 
2011 | Juniper Networks 公司 发 售 T4000 路 由 器 加 


5 同属 美国 早期 用 于 科研 和 高 校 资 源 共享 的 全 国 性 骨干 网 络 。 一 一 译 者 注 



















































































16 互联 网 域名 系统 的 最 高 权威 机 构 ， 掌 握 着 互联 网 域名 系统 的 设计 、 维 护 及 地 址 资源 分 
配 等 方面 的 绝对 权力 。 译 者 注 


03.02.02 ”路 由 器 性 能 的 进化 


路 由 器 性 能 的 演进 过 程 如 表 3-4 所 示 。 其 中 的 pps 是 指 分 组 / 每 秒 
的 单位 ， 表 示 在 工 秒 内 ， 路 由 需 能 够 转发 多 少 个 IP 分 组 。 


表 3-4 路 由 需 性 能 的 演进 


























| 





1 秒 内 能 够 转发 的 高 六 
数据 量 注 





ul 
国 | 
| 














ey 
宝 
并 
25 
至 
ul 
EE 
区 
二 
[es 
pe 





P 0.08 秒 


Cisco 7000 


ee 


G 


Cisco12000 117.18Gbit/s | 2 小 时 30 分 钟 


Juniper M40 468.75Gbit/s | 10 小 时 
日 立 GR2000 10 小 时 


日 立 GR4000- 
320E 


Juniper 1T640 


注 1: 1 packet 按照 1500 个 字 贡 换算 ，1M=1024k，1k=1024。 


























注 2: 是 指 12.9Mbits 的 高 清 画面 。 














03.03 ”路 由 器 的 分 类 


03.03.01 ”路 由 器 设备 

路 由 器 的 功能 是 以 编译 CPU 上 运行 程序 的 软件 为 形式 提供 的 。 在 
普通 的 个 人 计算 机 、 服 务 器 上 运行 的 通用 操作 系统 ， 如 Windows、 
MacOS、UNIX、Linux 等 也 安装 有 路 由 需 运 行 的 软件 ， 这 束 使 个 人 
计算 机 或 服务 器 设备 通过 运行 这 些 软件 也 能 作为 一 台 路 由 器 来 使 

用 。 例 如 ，UNIX 操作 系统 配备 了 标准 链 路 控制 程序 routed， 该 程 
序 使 用 RIP 协议 并 提供 了 路 由 选择 功能 。 


但 通常 所 说 的 路 由 露 还 是 指 安装 了 路 由 天 专用 的 操作 系统 并 配 有 专 
用 硬件 的 设备 ， 这 样 的 设备 也 可 以 称 为 硬件 设备 。 


使 用 专用 的 硬件 设备 和 在 个 人 计算 机 或 服务 需 的 通用 操作 系统 上 运 
行路 由 选择 软件 相 比 ， 有 以 下 优点 。 


。 提供 更 为 容易 使 用 的 用 户 接口 。 

。 操作 简单 。 

。 即使 不 精通 技术 也 能 进行 简单 的 设置 。 
。 能 够 在 短 时 间 内 完成 加 载 。 


o 由 于 功能 定制 化 ， 系 统 能 够 较为 轻松 地 提供 高 吞吐 率 
(throughput) 。 


可靠 性 更 高 。 
。 由 于 内 置 搭载 了 路 由 器 功能 ， 使 得 满足 最 低 需 求 的 成 本 降低 。 
除了 路 由 器 以 外 ， 交 换 机 和 防火 墙 也 算是 网 络 设备 。 


路 由 器 网 络 设 备 的 产品 构成 如 图 3-6 所 示 。 每 个 部 件 的 详细 信息 请 
参考 04.01 节 。 





~ ~ 天 -CPU 


EA 











(六 0) ED (ns) (3 
图 3-6 路 由 需 设 备 的 构成 部 件 结构 图 
作为 专用 设备 的 路 由 圳 可 以 根据 用 途 和 规模 分 成 下 面 几 类 。 
03.03.02 根据 性 能 分 类 


目前 ， 市 场 上 由 不 同 三 商 生 产 的 各 种 类 型 的 路 由 器 产品 ， 根 据 性 能 
可 以 分 为 高 端 路 由 器 (high end router) 、 中 端 路 由 器 (middle 
range router) 和 低 端 路 由 器 (low router) 三 种 ， 再 加 上 家 电 专 卖 店 
中 也 有 销售 的 、 价 格 低廉 的 家 用 宽 市 路 由 器 〈broad band router) ， 
共 可 以 分 成 四 种 类 型 〈 表 3-5) 。 


由 于 网 络 互 联 是 世界 通用 的 技术 ， 因 此 只 要 电源 规格 合适 ， 不 管 是 
哪 国生 产 的 路 由 器 均 能 立刻 投入 使 用 。 从 整个 日 本 的 路 由 器 市 场 来 
看 ， 家 用 宽带 路 由 器 和 低 端 路 由 器 占有 较 高 的 份额 ， 而 在 高 端 、 中 
问 路 由 器 中 ， 海 外 设备 三 商 尤其 是 思科 公司 和 Juniper 公司 的 产品 
的 市 场 占有 率 非 常 高 。 几 乎 所 有 的 厂商 都 是 没有 工厂 的 企业 ， 
实际 产品 是 通过 EMS (Electronics Manufacturing Service， 电 子 制 
造 服务 或 专业 电子 代 工 服务 ) 代 工 企业 制造 的 。 


| 了 即 无 生产 线 Fabless) 企业 ， 厂 商 只 负责 相关 产品 的 设计 工作 。 一 译 者 注 














路 由 器 根据 种 类 的 不 同 ， 硬 件 规格 也 大 相 径 星 。 而 从 操作 系统 的 角 
度 来 看 ， 和 相同 制造 三 商 同 类 产品 配套 的 软件 虽然 基 会 提供 统一 的 
基础 功能 ， 但 是 。 也 会 有 一 部 分 功能 得 不 到 不 文 持 ， 一 些 可 用 性 的 


对 象 〈 参 数 ) 不 太一 致 的 情况 
表 3-5 根据 路 由 器 性 能 的 分 类 











价格 区 间 











0 








电信 运营 商 、 数 据 中 心 、 大 型 企业 的 核心 路 由 器 


企业 的 中 心 (核心 ) 路 由 器 、 电 信 运 营 丙 的 边缘 路 |100 万 ~300 万 
由 器 站 元 
































中 小 企业 数据 中 心路 由 器 、 大 型 企业 分 支 机 构 使 用 | 几 万 至 100 万 日 

的 路 由 器 元 

小 规模 机 构 、 家 庭 使 用 
局 并 路 由 右 


高 端 路 由 器 的 性 能 最 好 ， 主 要 作为 骨干 网 络 中 的 核心 路 由 器 使 用 ， 
在 数据 中 心 、IX (Internet Exchange) 、 电 信 运 营 商 网 络 中 完成 网 
络 互 连 等 任务 。 


例如 ， 思 科 公 司 的 Cisco 12000 系列 、CRS-1，Juniper 公司 的 工 系 
列 、 玉 系列 、M 系列 和 ALAXALA 公司 的 AX7800R 系列 就 属于 高 
端 路 由 器 ， 其 价格 在 几 百 万 日 元 到 几 亿 日 元 之 间 。 

















2 约 十 几 万 至 上 千 万 人 民 币 。 一 一 译 者 注 








该 类 路 由 器 一 般 称 为 机 框 (chassis) 式 路 由 器 ， 带 有 可 以 插入 多 岂 
扩展 卡 的 插 柳 。 扩 展 卡 一 般 有 多 种 类 型 ， 其 中 主要 有 路 由 引擎 
Grouting engine) 、 交 换 结构 (switch fabric) 、 线 卡 等 。 


表 3-6 展示 了 机 框 式 路 由 器 的 主要 组 成 要 素 ， 这 些 组 成 要 素 一 般 被 


称 为 模块 (module) 。 
表 3-6 机 框 式 路 由 器 的 组 成 要 素 


路 由 引擎 
(Routing 
Engine ) 





交换 结构 
(Switch 
Fabric ) 


线 卡 (Line 
Card) 


(Backplane) 








空 制 。Cisco 公司 的 产 


理 器 roi se 



































负责 在 多 块 线 卡 之 间 进 行 通 信 的 内 部 总 线 结构 。 该 结构 性 能 的 
不 同 ， 决 定 了 路 由 器 转发 数据 量 ( 路 由 交换 容量 ) 的 大 小 

















配备 了 数据 输入 输出 接口 的 扩展 卡 




















提供 插入 路 由 引擎 、 线 卡 连接 插 槽 的 底部 主板 ， 并 通过 串 行 线 
路 连接 各 个 线 卡 路 由 引擎 、 线 卡 连接 插 槽 的 底部 主板 ， 并 通过 
串 行 线路 连接 各 个 线 卡 








假设 带 有 输出 队列 的 


交叉 式 交换 结构 
线 卡 线 卡 A 
拉 路 由 表 
# EE 加 mm [em 
一 一 [国外 本 6 
[33] 线 卡 B 
一 上 四 
假设 各 个 线 卡 之 间 连 有 路 径 ， 接 收 线 当 
dn 
卡通 过 查询 路 由 表 完成 转发 Cg 加 一 人 
有 线 卡 2 
收 线 卡 C 
“ E+- 和 
组 
— Ep | mm [> [em je 
jE 
多 个 假设 的 输出 队列 


图 3-7 机 框 式 路 由 器 的 架构 


机 框 式 路 由 絮 不 仪 可 以 控制 接口 的 数量 ， 还 可 以 增强 设备 的 交换 容 
量 ， 上 共有 引擎 见 余 功能 。 


当 某 一 模块 发 生 故 障 时 ， 无 需 关 闭路 由 器 电源 ， 在 其 他 模块 仍 处 于 
工作 的 状态 下 ， 只 蔡 换 发 生 故 障 的 扩展 卡 即 可 修复 。 这 种 对 处 于 工 
作 状 态 的 路 由 器 进行 将 换 线 卡 或 其 他 模块 的 操作 ， 也 称 为 热 插 拔 
(hot swapping) 或 在 线 插 拔 。 
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思科 公司 ( CRS-1 ) Juniper 公司 ( T640 ) 


图 3-8 高端 路 由 器 实例 

中 端 路 由 器 

一 般 作 为 企业 的 中 心路 由 器 〈center router) ， 是 整个 企业 网 络 的 中 
心 。 


中 端 路 由 器 一 般 分 为 两 类 。 一 类 十 在 机 框 上 配备 固定 数量 接口 的 机 
型 ， 该 机 型 无 法 额外 添加 端口 ， 称 为 “固定 式 ? 或 “ 箱 式 ? 路 由 器 ;而 
为 一 类 是 能 够 插入 可 选 模块 进行 扩充 。 因 此 可 以 根据 所 需 的 接口 类 
型 添加 对 应 端口 数量 的 机 型 ， 称 为 “模块 式 ” 路 由 器 。 


中 端 路 由 露 没 有 像 高 端 路 由 需 那 样 提供 路 由 引擎 的 元 余 功 能 ， 但 是 
配备 电源 见 余 的 产品 ， 即 所 谓 的 高 可 徘 性 路 由 絮 。 
中 站 路 由 器 的 价格 区 间 在 100 万 ~300 万 日 元 之 间 ， 在 日 本 国内 市 


场 占有 一 定 份额 的 制造 厂商 有 ALAXALA 公司 、 思 科 公 司 、 
Juniper 公司 、 富 士 通 、 上 古河 电气 工业 公司 等 。 











~ JUnIPer /4 





Juniper 公司 ( MX 系列 3D Universal Edge Router ) 


图 3-9 中 端 路 由 器 实例 


低 问 路 由 器 

该 类 路 由 露 属 于 在 中 小 企业 或 大 型 企业 营业 部 、 或 分 文 机 构 里 配置 
的 路 由 器 ， 也 称 为 普及 型 路 由 器 。 该 类 路 由 器 同样 可 以 分 成 两 类 ， 
即 可 以 改变 接口 类 型 或 添加 端口 数 的 模块 式 路 由 器 和 无 法 改变 接口 
类 型 和 端口 数 的 箱 式 路 由 器 。 


由 器 中 还 有 一 类 产品 无 法 插入 机 织 使 用 ， 叫 做 昌 面 式 路 由 








从 主要 使 用 目的 来 看 ， 该 类 路 由 器 多 作为 运行 IPsec-VPN 的 终端 来 
构建 虚拟 通信 网 络 。 


该 类 路 由 器 价格 区 间 在 100 万 日 元 以 下 ， 在 日 本 国内 市 场 上 占有 一 
定 份额 的 制造 厂商 有 Allied Telesis 公司 (以 下 简称 为 Telesis 公 
司 ) 、NEC 公司 、 思 科 公 司 、 富 士 通 、 古 河 电气 工业 公司 、 
YAMAHA 等 。 





Telesis 公 司 ( CenterCOM AR570S ) YAMAHA ( RTX-3000 ) 


图 3-10” 低 端 路 由 右 实 例 


宽带 路 由 器 


一 般 小 规模 分 文 机 构 和 和 家庭 在 连接 宽带 时 使 用 的 路 由 器 ， 也 可 以 称 
为 远程 路 由 需 或 WAN 路 由 器 。 


2012 年 销售 的 该 类 路 由 器 产品 类 型 ， 已 经 能 够 提供 IEEE 802.11n 

无 线 标 准 〈 最 大 吞吐 量 达 到 300Mbiys) 和 1000BASE-T 双 绞 线 接 
口 〈( 千 兆 以 太 网 的 有 线 LAN 标准 ) 等 ， 这 使 得 产品 的 实际 吞吐 量 
达到 了 数 百 Mbit/s 到 1Gbits 不 等 。 


该 类 路 由 顺产 品 的 价格 区 间 从 几 千 日 元 到 15000 日 元 不 等 。 其 中 
NEC 公司 、Corega 公司 、Buffalo 公司 、IOData 公司 等 设备 公司 均 














有 产品 在 日 本 市 场 上 销售 。 


NEC 
( Aterm PA-WR8165N-ST ) 


图 3-11 宽带 路 由 器 示例 
03.03.03 面 回 电信 运营 商 的 路 由 器 产品 分 类 


NTT、KDDI 这 类 电 电 信和 运营 商 在 面向 企业 和 个 人 消费 者 提供 构建 
网 络 服务 时 ， 需 要 提供 的 网 络 结构 规模 比 企 业 上 自身 构建 的 更 大 ， 对 
路 由 器 产品 功能 与 性 能 的 要 求 也 就 更 加 复杂 。 从 电信 运营 丙 的 角度 
分 类 ， 可 以 将 这 些 路 由 器 归 类 于 面 同 网 络 服 务 供应 商 的 路 由 右 
(Service Provider Router) 1 ， 而 根据 路 由 器 在 网 络 内 的 位 置 可 以 
站 克 了 以 下 省 关 : 
































19 这 里 的 Service Provider 可 以 简单 地 理解 成 中 国电 信 等 运营 商 的 宽带 网 。 一 一 译 者 注 
核心 路 由 器 


核心 路 由 器 (Core Router) 位 于 上 骨干 网 (backbone) 中 ， 用 来 构成 
核心 网 络 (core network) 。 核 心 网 络 用 于 各 个 业务 网 络 (service 
network) 的 互联 ， 承 担 着 高 速 转 发 各 个 网 络 之 间 通 信 流 量 的 任 

务 。 


边缘 路 由 融 
边缘 路 由 器 〈Edge Router， 供 应 丙 之 间 的 边界 路 由 器 ) 是 指 在 骨干 


网 边缘 配置 的 路 由 器 。 承 担 着 容纳 用 户 网 络 线路 、 连 接骨 干 网 的 任 
务 。 由 于 需要 容纳 众多 用 户 的 网 络 线路 ， 因 此 该 路 由 堪 不 仅 要 做 到 


分 组 的 高 速 中 继 转发 处 理 ， 还 要 完成 控制 分 组 的 优先 级 、 分 组 过 
滤 、 认 证 、 加 密 等 多 项 重要 的 处 理 。 


用 户 边 缘 路 由 露 


用 户 边 缘 路 由 器 (subscriber edge router) 是 在 用 户 (订阅 者 ) 网 络 
处 配置 的 路 由 器 ， 用 于 连接 服务 供应 商 的 边缘 路 由 器 。 





图 3-12 服务 供应 商 的 网 络 与 路 由 器 的 位 置 

03.03.04 ”面向 企业 的 路 由 器 产品 分 类 

在 大 型 企业 和 网 络 公 司 管理 的 大 规模 网 络 中 ， 存 在 很 多 作为 网 络 构 
成 要 素 的 路 由 器 。 根 据 网 络 内 所 处 位 置 与 分 工 的 不 同 ， 这 些 路 由 器 
可 以 分 为 如 下 几 类 。 

面向 企业 的 路 由 器 也 可 以 称 为 企业 级 路 由 器 〈Enterprise Router) 。 
接 入 路 由 器 

距离 用 户 最 近 位 置 的 路 由 器 称 为 接 入 路 由 器 (Access Router) ， 意 
思 就 是 保障 用 户 接 入 所 需 网 络 的 路 由 器 ， 通 过 接 入 路 由 器 构成 的 网 


络 也 称 为 接 入 网 。 接 入 路 由 需 提 供认 证 、 接 入 控制 等 功能 ， 一 般 音 
赣 在 企业 的 分 文 机 构 或 下 属 部 门 中 。 

















有 时 为 了 在 自己 家 中 或 出 差 时 能 够 接 入 公司 的 网 络 而 使 用 远程 接 入 
路 由 器 ， 这 也 是 接 入 路 由 器 的 一 种 ， 这 类 网 络 使 用 拨号 连接 、 
PPTP、IPsec、SSL 等 协议 通过 VPN 完成 整个 接 入 过 程 。 


汇聚 路 由 器 


i a te ad 
聚 网 络 (Distribution Network) ， 形 成 3 层 网 络 结构 。 汇 聚 路 由 

CDistribution Router) 负责 在 汇聚 网 络 中 汇聚 接 入 网 的 路 由 选择 

Fe 过 小 等 工作 ， 从 而 进行 多 个 网 络 或 VLAN 之 间 的 


核心 路 由 器 


核心 (core) 表示 位 于 中 心 ， 核 心路 由 器 (Core Router) 也 就 是 配 
置 在 网 络 中 心 位 置 的 路 由 器 。 使 用 核心 路 由 此 构建 起 来 的 核心 网 主 
要 负责 高 速 传送 与 接 入 网 或 汇聚 网 之 间 的 通信 数据 。 虽 然 目 前 也 有 
不 少 企业 目 建 核心 网 ， 但 大 多 数 企业 还 不 是 同 电 信和 运营 了 商 文 付 一 定 的 
月 租 费 通过 租用 线路 来 构建 。 





表 3-7 各 个 生产 商 提供 的 面向 企业 的 路 由 器 产品 入: 


Cisco Systems | Juniper ALAXALA Networks YAMAHA 
Networks 














AX7800R (768Gbit/s/480Mpps) 








服 Cisco12000 




















供应 | Cisco10000 Ba 
: MX480 
商 的 |Cisco7600 和 
边缘 | Cisco7300 
， MX80 
路 由 |Cisco7200 
ll M320 
句 广 |Cisco M120 
品 ”|ASR9000 ee 
【局 CiscoASR1000 M10i 
端 路 |Cisco XR jv 
由 12000 
钙 、 
中 端 
路 由 
人 ) 


Cisco ISR 3800 | J6350 
Cisco ISR 2900 | J4350 





Cisco ISR 1900 | J2350 


Cisco ISR 800 |J2320 








AX7702R (96Gbit/s/30Mpps) 


注 1: 思科 公司 的 路 由 器 名 称 为 产品 系列 名 称 ， 其 余 公 司 的 为 产品 型 号 名 称 。 


拨号 路 由 器 2” 


”0 在 国内 ， 由 于 该 类 产品 采用 了 ISDN 











消费 者 很 难 见 到 。 一 一 译 者 注 


个 人 计算 机 等 设备 通过 电话 线路 接 入 网 络 的 方式 称 为 拨号 连接 


每 宕 
二 哆 








带 接 入 技术 路 月 


高 








过 | 
Ci,» 


存在 时 间 很 短 ， 





因此 





Cdial-up) 。 在 20 世纪 80 年 代 个 人 计算 机 普及 时 ， 以 及 20 世纪 
90 年 代 中 期 商业 互联 网 服务 开始 时 ， 拨 号 连接 非常 流行 ， 只 要 有 
电话 线路 的 地 方 就 能 连 入 互联 网 。 


目前 ， 由 于 光纤 、ADSL 等 宽带 接 入 技术 占据 主导 地 位 ， 家 里 几乎 


不 再 使 用 拨号 上 网 。 





拨号 路 由 器 (Dial-up Router) 配备 了 WAN 侧线 路 连接 的 ISDN 动 
态 适 配器 ， 可 以 用 64kbit/s 或 128kbit/s 的 速率 连接 互联 网 。 也 有 配 
备 了 多 个 SOHO*! 所 需 的 LAN 侧 接口 ， 可 以 直接 连接 终端 的 产 


EE 
DDo 








| 21 即 Small Office Home Office， 家 居 办 公 。 大 多 指 那 些 专门 的 自由 职业 者 。 一 一 译 者 注 


与 目前 使 用 的 长 时 间 在 线 网 络 服务 不 同 ， 拨 号 上 网 需要 和 电话 一 同 
使 用 ， 并 根据 使 用 时 间 的 长 短 来 计 费 。 因 此 该 类 路 由 器 会 配备 一 种 
功能 ， 即 仅 在 需要 连接 互联 网 时 上 自动 连接 ， 如 果 在 一 定时 间 内 没有 
通信 和 则 自动 断 开 网 络 ， 市 省 通信 费用 。 


从 1994 年 Bekkoame Internet 公司 2 开始 向 个 人 提供 互联 网 接 入 服 
务 后 ， 逐 步 开 始 有 了 固定 费用 的 、 拨 号 上 网 的 卫 接 入 服务 。 


2 在 日 本 面向 个 人 提供 互联 网 接 入 服务 的 公司 ， 类 似 于 中 国 的 长 城 宽带 等 网 络 公司 。 
一 一 译 者 注 

















到 














ISDN S/T 接口 电话 线路 
ISDN U 接 口 


图 3-13 YAMAHA 的 NVR500 








(LSDN 线 路 或 高 速 数据 专用 线路 ) (UISDN 数 据 终端 (G4FAX 等 ) ) 








ISDN U 接 口 端口 ISDN S/T 接口 端口 


路 由 器 功能 








MDI 与 MDI-X 可 以 切换 











[个 人 计算 机 [个 人 计算 机 ] 
( RS-232C )) \、_(10BASE-T) 


YA 


[机 所 电 放 FAx| 
\ 








图 3-14 拨号 路 由 器 的 架构 
宽带 路 由 器 、 内 置 ADSL 调制 解 调 器 的 路 由 器 


2000 年 前 后 ， 拨 号 路 由 器 的 名 称 逐 步 被 宽带 路 由 器 代替 。 随 着 
xDSL、FTTH 〈 交 纤 到 户 ) 等 宽带 接 入 技术 的 发 展 ， 市 场 上 出 现 了 
内 置 ADSL 调制 解 调 器 和 ONU ( 光 网 络 终端 装置 ) 、 使 用 PPPoA 
或 PPPoE 协议 就 可 以 连接 电信 运营 商 网 络 的 路 由 器 。 

该 类 路 由 器 在 家 电 专 卖 店 的 售 价 为 几 千 至 1 万 日 元 左右 。 
移动 路 由 器 

在 出 差 或 外 出 时 用 于 连接 互联 网 的 便携 式 路 由 器 也 可 以 称 作 移动 路 
由 器 (Mobile Router) 。 该 类 路 由 器 外 形 小 巧 便捷 ， 有 的 产品 配备 
了 有 线 LAN 端口 和 无 线 LAN 接 入 点 ， 有 的 产品 可 以 通过 USB 接 
口 或 数据 通信 卡 连 接 移动 电话 网 、PHSS 、WiMAX 等 无 线 网 络 的 
调制 解 调 器 ， 还 有 的 产品 集成 了 数据 通信 卡 和 路 由 器 的 两 种 功能 。 


| 2 在 国内 称 为 小 灵通 。 一 一 译 者 注 














03.04 ”路 由 器 产品 目录 说 明 
路 由 器 硬件 产品 的 相关 规格 介绍 如 表 3-8 所 示 。 另 外 ， 宽 带路 由 器 


的 产品 目录 说 明 书 可 参照 表 3-9。 


表 3-8 路 由 器 产品 目录 的 主要 规格 说 明 
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架 高 
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机 架 插入 式 路 由 器 的 高 度 ， 即 占 
用 多 少 个 Unit 

产品 的 重量 ， 会 告知 是 否 包含 了 
接口 卡 等 可 选 模 块 的 重量 


说 明 整 机 是 否 能 够 载 入 〈 配 置 安 
装 于 ) 19 英 寸 或 23 英 寸 的 机 染 


说 明 路 






























































ET 


10.2kg 


装载 19 英 寸 机 架 


器 配备 了 多 少 个 物理 端 |2x10/100/1000BASE- 
口 (接口 ) 和 类 型 T 2xBRI 





插入 可 选 接 口 卡 的 插 模 数目。 一 
般 一 块 接口 卡带 有 1 个 或 多 个 物 
理 端口 
电源 一 般 分 为 AC (Alternating 

Current， 交 流 电 ) 和 DC (Direct 
Current， 直 流 电 ) 两 类 。 也 有 小 
型 路 由 器 会 配备 AC 电 源 适 配器 




















ACI 








昌 源 在 规格 范围 








压 额 定 值 或 额定 范围 。 
使 用 的 电压 为 单 相 100V， 但 是 为 


AC 输 入 电压 


内 输入 的 电 























日 本 一 般 








AC 输 入 频率 


AC 输 入 电流 


DC 输入 电压 


DC 输入 电流 








了 与 世界 接轨 ，AC 输 入 1 








昌 压 的 














范围 普遍 是 100~240V *4 
AC 电 源 对 应 的 输入 频率 。 日 本 
东部 采用 的 是 50Hz， 西 部 采用 的 
是 60Hz 2 
AC 电 源 中 的 电流 数值 。 可 以 通 
过 公式 计算 : 消耗 电能 = (输入 
电压 x 功率 x 转化 率 ) 





























































































































DC 电源 中 的 电流 数值 
过 公式 计算 : 消费 
压 


。 可 以 通 
日 能 :输入 电 























100~240VAC 


47~63Hz 


3A (110V) 
2A (230V) 


DC 和 


最 大 15A (额定 一 
48VDC) 


输出 功率 


表示 产品 消耗 的 电能 。 有 时 会 分 
别 标明 平均 消费 电能 和 最 大 消费 |52W (177 BTU/hr) 
六 会 已 


电 有 Be 









































环境 规格 
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请- 局 
| CS 条 口 -和 SEB HE 4 
行 时 的 汤 度 。 | 保管 非 运 行 状态 的 产品 所 需要 的 | 40C.70 必 
二 | 


非 运 
运行 


从 
YY 





59%6~859% 〈 不 会 结 
局 
是 ) 














湿 运行 时 需要 保证 的 湿度 





运行 时 发 出 

















e UL 60950 
e CAN/CSA 
安全 认证 显示 硬件 通 ; 全 认 i ® C22.2 No.60950 
e EN 60950 
e AS/NZS 60950 


® 47 CFR,Part 15 

e@ ICES-003 Class A 

® EN55022 Class A 
EMC (Electromagnetic | 保证 产品 没有 电磁 辐射 或 有 电磁 | e。CISPR22 Class A 
Compatibility， 电 磁 兼 | 辐射 但 不 会 影响 操作 以 致 造成 失 |e。 AS/NZS 3548 Class 
容 性 ) 误 的 认证 信息 A 

eVCCIV-3 

e EN 300386 

eEN 61000 


® 47 CFR,Part 68 
表示 符合 电气 通信 和 无 线 通 信 的 |e TIA/EIA/IS-968 
相关 规范 e@ CS-03 

©® R&TTE Directive 













































































4 我 国 使 用 的 是 220V。 译 者 注 
”我 国 使 用 的 是 50Hz。 译 者 注 
表 3-9 宽带 路 由 器 规格 的 说 明 











IEEE 802.3ab (1000BASE-T) 表示 有 线 LAN 使 用 的 标准 名 称 。 如 

















规格 ”|IEEE 802.3u (100BASE-TX) 果 是 以 太 网 的 话 ， 这 里 内 容 基本 相 
IEEE 802.3 (10BASE-T) 同 ， 一 般 支 持 到 千 兆 以 太 网 为 止 























下 | 办 议 标 准 的 分 
TCP/IP 0 议 标 准 的 分 


8B1Q4/PAM5 (1000BASE-T) 表示 有 线 LAN 中 线路 传输 的 编码 方 
4B5B/MLT-3 (100BASE-TX) 式 。 以 太 网 时 表示 的 内 容 如 范例 所 
曼彻斯特 编码 (10BASE-T) 示 (参考 01.03 节 ) 





























10M/100M/1000Mbit/s( 自 适应 ) 适应 功能 上 自动 选 择 适 合 的 传 


采用 CSMA/CD 方 式 接 入 有 线 LAN 





能 够 通过 手动 设置 、DHCP 或 
手动 /DHCP/PPPoE Di 议 从 WAN 端 口 处 获得 IP 地 
址 








WAN 侧 1 个 端口 (对 应 AUTO- er 
MDIX) 表示 端口 数目 
LAN 侧 4 个 端口 (对 应 AUTO- 
MDIX) 


。 一 般 LAN 侧 提供 四 
个 端口 。 会 标明 是 否 对 应 Auto- 
MDIX 











RJ-45 类 型 8 极 接头 表示 使 用 的 是 8pin 的 RJ-45 接 头 


Stateful Packet Inspection (SPI) 、 
分 组 过 滤 (Packet Filtering) 、 
VPN Multi-Passthrough 〈 即 

PPTP ) 





AC100V 表示 内 置 型 电源 ，DC5V 


电源 |AC100V 50/60Hz 中 出 现 的 DC 字样 表示 通过 AC 电 
源 适 配器 供电 


表示 设备 在 启动 时 和 NDR (参考 
07.04 节 ) 分 组 处 理 时 消耗 的 电能 最 
大 








表示 路 由 器 的 尺寸 


tl 
ox wvRno 能 够 正常 工 此 范围 之 天 
浊 度 20%~80% 法 保证 路 由 器 能 够 正常 工作 






































温度 0'C ~40'C 











宽带 路 由 器 一 般 在 WAN 侧 有 1 个 端口 ， 在 LAN 侧 有 3~5 个 RJ-45 
山口 。LAN 侧 的 多 个 端口 之 间 可 以 像 交 换 机 那样 进行 桥接 ， 因 此 
也 可 以 在 多 个 端口 之 问 仅 分 配 … 个 下 庆 址 。 


03.05 ”IP 路 由 选择 的 基础 知识 


03.05.01 IP 地 址 管理 
复习 IP 地 址 


IP 协议 存在 IPv4 和 IPv6 之 分 ， 二 者 没有 互 换 性 ， 地 址 的 表示 方式 
也 大 相 径 性 。 


IPv4 地 址 是 采用 类 似 192.168.0.12 的 形式 ， 用 点 “.” 将 地 址 分 成 4 个 


部 分 ， 


并 使 用 十 进 制 数字 表示 的 32bit 的 值 。 因 此 每 个 部 分 的 长 度 


都 是 8bit， 可 以 用 0~255 的 数字 来 表示 。 


O 


〇 


地 址 分 类 与 目 然 掩 码 


IPv4 地 址 中 前 三 类 地 址 网 络 部 分 与 主机 部 分 的 bit 位 数 是 分 配 
好 的 。A 类 地 址 的 范围 是 0.0.0.0~127.255.255.255， 其 中 8bit 
表示 网 络 部 分 ， 剩 余 24bit 表示 主机 部 分 。B 类 地 址 的 范围 是 
128.0.0.0~191.255.255.255， 其 中 使 用 16bit 表示 网 络 部 分 ， 
16bit 表示 主机 部 分 。C 类 地 址 的 范围 是 
192.0.0.0~223.255.255.255， 其 中 使 用 24bit 表示 网 络 部 分 ，8bit 
表示 主机 部 分 。 


另外 还 有 用 于 多 播 的 、 范 围 是 224.0.0.0~239.255.255.255 的 D 
类 地 址 ， 和 用 于 研究 的 、 范 围 是 240.0.0.0~255.255.255.255 的 
E 类 地 址 。 


CIDR 与 子 网 掩 码 


CIDR (Classless Inter-Domain Routing， 无 类 别 域 间 路 由 ) 不 
再 采用 以 往 的 地 址 分 类 ， 而 是 基于 可 变 长 子 网 掩 码 进行 任意 长 
度 的 也 地 址 前 级 ， 即 网 络 部 分 的 分 配 ( 可 变 长 子 网 掩 码 在 
RFC950 标准 中 定义 了 详细 内 容 ) 。 以 往 的 地 址 分 类 只 能 将 网 
络 部 分 分 成 24bit、16bit 或 8bit 三 种 ， 而 通过 CIDR 进行 任意 
长 度 的 分 配 后 ， 主 机 部 分 也 可 是 任意 长 度 ， 于 是 出 现 了 新 的 子 
网 描 码 。IP 地 址 的 网 络 部 分 也 可 以 称 为 前 级 (prefix) ， 网 络 











O 〇 


部 分 的 长 度 通常 以 “前 绥 长 度 为 Nbit* 的 形式 来 表述 ， 而 前 级 则 
通过 子 网 捧 码 来 表示 。 子 网 掩 码 和 IP 地 址 一 样 分 成 4 个 部 
分 、 由 十 进 制 表示 ， 如 果 网 络 部 分 的 长 度 为 24bit， 子 网 掩 码 
则 为 255.255.255.0。 和 IP 地 址 不 同 的 是 ， 当 使 用 二 进 制 表示 
时 ， 子 网 掩 码 一 定 是 以 连续 的 1 开始 ， 以 连续 的 0 结束 。 另 
外 ， 使 用 CIDR 的 表示 法 时 ， 还 可 以 在 IP 地 址 后 面 添加 和 斜 
线 “” 和 表示 子 网 的 bit 数 。 例 如 卫 地 址 为 10.1.1.1， 子 网 掩 码 
为 255.255.0.0 时 ， 可 以 记 为 10.1.1.1/16。 


不 使 用 CIDR，A 类 地 址 到 C 类 地 址 仍然 使 用 8bit、16bit 和 
24bit 来 表示 网 络 部 分 的 子 网 掩 码 ， 也 称 为 自然 手 码 Cnatural 


mask) 。 


使 用 分 类 地 址 称 为 有 类 路 由 选择 〈classful) ， 使 用 无 类 地 址 则 
称 为 无 类 路 由 选择 〈classless) 。 


网 络 部 分 相同 的 IPv4 地 址 可 以 认为 它们 归属 同一 子 网 。 

私有 地 址 与 全 局 地 址 

由 于 IPv4 中 地 址 枯竭 的 问题 ， 出 现 了 只 在 组 织 内 部 网 络 
Gintranet) 中 使 用 的 IP 地 址 ， 即 私有 地 址 (private 

address) 。 私 有 地 址 在 RFC1918 中 定义 了 详细 信息 ， 并 针对 

每 个 地 址 分 类 提供 了 不 同 的 地 址 范围 ， 以 供 不 同 规模 的 内 部 网 

络 选择 〈 表 3-10) 。 


表 3-10 私有 地 址 范围 


地 址 分 类 私有 地 址 范围 
A 
B 











2 
172.16.0.0~172.31.255.255 (172.16.0.0/12) 
C 类 地 址 192.168.1.0~192.168.1.255 (192.168.1.0/24) 








A 类 地 址 到 C 类 地 址 中 ， 除 了 私有 地 址 外 的 所 有 地 址 都 称 为 全 
局 地 址 (global address) 。 如 果 要 在 互联 网 上 使 用 全 局 地 址 ， 
需要 在 ICANN 下 属 的 Internet Registry2 机 构 中 注册 。 


o 单 播 、 广 播 、 多 播 、 任 播 
IP 地 址 也 可 以 按照 拓扑 结构 分 类 ， 如 表 3-11 所 示 。 
表 3-11 IP 地 址 的 拓扑 结构 分 类 


单 揪 41 |IPv4 地 址 中 使 用 A 


(Unicast) E | 类 、B 类 、C 类 地 
址 








使 用 

3 J 255255255255 

es 1 她 | 主机 部 分 全 为 1 的 
总 入 | 地址 《如 


| 192.168.1.255/24) 





多 播 ; IPv4 中 使 用 DD 类 地 
(Multicast) 址 








任 揪 最 近 | 只 在 IPv6 中 存在 


O 〇 


(Anycast) 〈 响 








IPv6 地 址 的 值 增加 到 了 128bit， 用 冒号 “ : ”将 地 址 分 成 八 个 部 
分 ， 每 个 部 分 长 16bit， 使 用 十 六 进 制 数字 〈 从 0000 到 
FFFF) 表示 。IPv6 地 址 有 条 简写 规则 ， 即 前 导 并 连续 的 0 可 
以 省 略 。 


IPv6 地 址 FE80;0000:0000:0000:30AB:0000:008D:6AD5 


FE80 : 0000 : 0000 : 0000 : 30AB : 0000 : 008D : 6AD5 
每 个 地 址 块 中 前 导 并 连续 的 0 可 以 省 略 ， 
全 为 0 的 地 址 块 保留 一 个 0 
FE80 : 0 0 0 : 30AB : 0 : 8D : 6AD5 
单个 或 连续 的 只 有 0 组 成 的 地 址 块 可 以 用 “: : " 
来 代替 ( 但 整个 地 址 中 只 能 有 一 个 “: : ” ) 
FE80 : : 30AB : 0 : 8D : 6AD5 
~ NS 
该 区 域 可 以 该 区 域 则 不 能 
省 略 全 0 的 部 分 ”省 略 全 0 的 部 分 


图 3-15 ”IPv6 的 全 局 地 址 、 私 有 地 址 、 广 播 地 址 、 多 播 地 址 
和 任 播 地 址 


能 够 设置 卫 地 址 的 接口 

IP 地 址 是 在 OSI 参考 模型 的 网 络 层 上 使 用 的 逻辑 地 址 。 从 管 
理 接 口 能 够 手动 设置 表 3-12 所 列 的 接口 类 型 。MAC 地 址 属于 
数据 链 路 层 使 用 的 物理 地 址 ， 该 地 址 与 每 个 物理 接口 一 一 对 
应 ， 因 此 无 法 变更 ， 也 不 会 存在 重复 的 地 址 。 


表 3-12 能 够 设置 IP 地 址 的 接口 























能 够 进行 L3 处 理 的 物理 接口 。 在 交换 机 端口 中 ， 1 个 交换 机 
虽然 能 够 携带 多 个 物理 端口 ， 但 也 可 以 仅 分 配 一 个 耳 地 址 。 
当 链 路 没有 连通 时 ， 该 了 了 地 址 不 可 达 
环 回 接口 路 由 器 用 来 表示 自己 本 身 的 虚拟 接口 。 个 人 计算 机 中 IPv4 一 
和 股 记 为 *127.0.0.1?，IPv6 记 为 “::1”。 另 外 ， 也 可 以 设 定 多 个 
ee 环 回 接口 。 一 般 在 链 路 联通 时 ， 该 虚拟 接口 到 路 由 器 所 带 的 
任意 一 个 物理 接口 均 是 可 达 的 


在 可 以 进行 VLAN 间 路 由 选择 设置 的 路 由 器 中 ， 为 每 个 
VLAN 接 口 |YLAN 分 配 下 地 址 时 所 使 用 的 虚拟 接口 。 思 科 公司 的 路 由 器 
































(loopback 


















































将 该 接口 称 为 SVI (Switched Virtual Interface， 交 换 虚 拟 接 
口 ) 




















J Hz 

汇聚 接口 “| 将 多 个 物理 接口 进行 链 路 汇聚 (参考 02.08 节 ) 而 形成 的 逻 
(aggregate 辑 接口 
interface) 


子 接 口 更 用 VLAN ID 将 一 个 物理 接口 分 割 成 多 个 带 标签 的 逻辑 接口 
(sub 时 ， 这 些 逻 辑 接 口 就 称 为 子 接口 ， 表 述 方式 如 

interface) ”|ethernet1/1.1， 用 点 “.” 来 分 隔 主 接口 和 子 接口 
辅助 地 址 ”| 当 在 路 由 器 中 可 以 配置 IP 地 址 的 接口 存在 2 个 (或 2 个 以 上 ) 
(secondary | 时 ， 可 以 同时 分 配 不 同 的 卫 地 址 ， 这 时 第 2 个 地 址 称 为 辅助 
address ) 地 址 。 该 地 址 可 以 用 于 网 络 迁 徙 或 网 络 管理 



















































































o 访问 列表 与 NAT 


路 由 器 在 转发 或 丢弃 分 组 时 会 使 用 访问 列表 (access list) 来 进 
行 分 组 的 过 滤 (filtering〉 操 作 。 而 将 分 组 从 私有 地 址 转发 到 

全 局 地 址 ， 进 行 地 址 转换 操作 时 ， 则 会 使 用 NAT 技术 。 这 两 
个 功能 的 详细 信息 可 参考 05.07 节 。 


o ARP 表 管 理 


ARP 是 通过 IPv4 地 址 获取 MAC 地 址 的 网 络 协议 。 路 由 器 在 
发 送 IP 分 组 时 ， 会 用 ARP 解析 以 太 网 数据 帧 所 需要 的 目的 地 
MAC 地 址 。 负 责 使 用 ARP 解析 的 路 由 器 在 收 到 该 请 求 后 ， 会 
问 网 络 内 其 他 的 路 由 器 或 主机 发 出 类 似 这 样 的 询问 消息 : “ 谁 
有 IP 地址 192.168.1.254 ? ”而 持 有 该 卫 地 址 的 设备 会 做 出 

如 “192.168.1.254 是 00:00:00:0f:12:34:56” 这 样 的 应 答 。 由 于 在 
转发 IP 分 组 时 执行 ARP 的 话 效 率 会 很 低 ， 因 此 一 旦 ARP 解 
析 完 成 ， 会 将 解析 结果 以 表 项 的 形式 保存 在 设备 的 ARP 表 
中 。 但 是 表 项 不 会 永久 保存 ， 而 是 有 一 定 的 时 限 ， 该 时 限 称 为 








Age Time (老化 时 间或 生存 时 间 ) ， 超 时 后 会 再 次 解析 

ARP。 男 外 ，ARP 表 是 以 每 个 网 络 接口 为 单位 保存 的 。 

对 于 无 法 使 用 ARP 的 硬件 或 那些 经 常 使 用 相同 IP 地 址 的 服务 
器 而 言 ， 由 于 无 法 通过 广播 的 方式 完成 ARP 解析 ， 因 此 也 可 
以 由 网 络 管理 人 员 在 ARP 表 中 手动 添加 对 应 ARP 表 项 。 


DHCP 





DHCP (Dynamic Host Configuration Protocol， 动 态 主机 配置 协 
议 ) 协议 在 RFC2131 与 RFC2132 中 定义 ， 是 为 主机 (客户 
端 ) 自动 配置 IP 地 址 、 子 网 、 域 名 、DNS 服务 器 、 默 认 网 关 
等 信息 的 网 络 协议 。 


路 由 器 的 DHCP 功能 主要 分 为 三 个 方面 。 首 先是 作为 DHCP 
服务 器 为 客户 端 分 配 IP 地 址 的 “DHCP 服务 器 功能 ”。 其 次 是 作 
为 DHCP 客户 端 从 其 他 DHCP 服务 器 中 获取 IP 地 址 的 “DHCP 
客户 端 功 能 ”。 最 后 是 在 DHCP 服务 器 和 客户 端 之 间 完 成 中 继 
广播 消息 的 DHCP 中 继 代 理 功 能 (Relay Agent) 。 


使 用 路 由 器 的 DHCP 服务 器 功能 时 ， 个 人 计算 机 (CDHCP 客户 
端 ) 可 以 通过 图 3-16 的 流程 自动 从 路 由 器 (DHCP 服务器) 

处 获取 IP 地 址 。 如 果 手 动 设置 每 台 计 算 机 的 IP 地 址 ， 过 程 会 
非常 抹 烦 ， 而 且 必 须 考虑 到 不 能 分 配 重复 的 IP 地址。 而 使 用 
DHCP 则 可 以 指定 分 配 的 IP 地 址 所 在 的 范围 <?>， 自 动 完成 在 
该 范围 内 的 地 址 分 配 ， 同 时 也 可 以 自动 为 默认 网 关 分 配 地 址 。 
几乎 所 有 类 型 的 路 由 器 都 支持 DHCP 服务 器 功能 ， 其 中 也 包括 
家 用 的 宽带 路 由 器 。 





相同 广播 域 中 





DHCP 网 段 内 其 他 ”DHCP 服务 器 1 ”DHCP 服务 器 2 
客户 端 客户 端 人 QT1253 多 100 254 









DHCPDISCOVER 


DHCPOFFER (yiaddr =10.1.1.5) |(2 
DHCPOFFER | 


DHCPREQUEST (Reauested IP Address = 10.1.1.5， 
server identifler = 10.1.1.253) 


DHCPACK 


中 客户 端 对 网 段 内 广播 DHCPDISCOVER 消 息 

CO) DHCP 服务 器 在 网 络 内 广播 DHCPOFFER 消 息 

(9) 客户 端 在 网 络 内 广播 DHCPREQUEST 消 息 

(4) 在 接收 了 DHCPACK 消 息 后 ， 客 户 端 就 能 使 用 所 分 配 的 IP 地 址 ( 10.1.1.5 ) 


图 3-16 DHCP 连接 流程 

o PPPoE 
PPPoE (PPP over Ethernet) 即 以 太 网 上 的 点 对 点 协议 ， 是 在 
LAN 上 完成 用 户 认 证 并 分 配 IP 地 址 的 网 络 协议 。 另 外 ， 使 用 
PPPoE 协议 也 能 提供 网 络 接 入 服务 ， 使 设备 接 入 互联 网 服务 供 
应 商 的 网 络 、 享 受 FTTH、ADSL 等 长 时 间 在 线 网 络 服务 。 


该 协议 由 RFC2516 定义 ， 图 3-17 列 出 了 处 理 流程 。 


终端 设备 IP 通 信和 网 
PADI 


PPPoE 发 现 阶段 


PPPoE PPP 
会 话 阶段 开始 
Configure-Request 

Configure-Ack 
LCP 分 组 Configure-Request 


Configure-Ack 


依据 CHAP/PAP 进 行 认证 的 阶段 


Configure-Request 5 
Configure-Ack 


下 





6 Configure-Request 
IPCP 分 组 Configure-Nak 7 
Configure-Request 
Configure-Ack 





OO 


开始 IP 通 信 
和 开始 建立 PPPoE 会 话 6) 请 求 终端 设备 所 使 用 的 IP 地 址 
人 建立 PPPoE 会 话 7) 返回 分 配给 终端 设备 的 |P 地 址 信息 
3) 开始 建立 PPP 会 话 8 告知 终端 设备 所 接收 的 IP 地 址 信息 
4) 请 求 认证 协议 9) 建立 PPP 会 话 


5) 告知 IP 通 信和 网 络 侧 的 IP 地 址 


图 3-17 PPPoE 连接 流程 

有 些 路 由 器 能 够 提供 多 PPPoE 会 话 功能 ， 即 能 够 使 用 多 个 
PPPoE 实例 。 这 时 ， 用 户 可 以 通过 路 由 器 同时 接 入 两 个 以 上 的 
互联 网 服务 供应 丙 网 络 ， 从 而 使 连接 互联 网 的 线路 负载 均衡 、 
双 线 元 余 (mnulti-homing， 也 可 称 为 多 重 连接 ) 。 


| 到 可 以 理解 为 互联 网 登记 处 。 一 一 译 者 注 


03.05.02 ”IP 路 由 选择 
路 由 器 根据 接收 到 的 IP 分 组 中 目的 地 址 信息 ， 从 路 由 表 中 选 


择 最 适合 的 路 径 ， 并 选择 从 哪个 网 路 接口 转发 ， 这 一 系列 过 程 
称 为 路 由 选择 ， 对 IP 分 组 进行 路 由 选择 操作 就 称 为 IP 路 由 选 
2 


择 


IP 路 由 选择 可 以 分 为 针对 单 播 通信 的 单 播 IP 路 由 选择 和 针对 
多 播 通 信 的 多 播 IP 路 由 选择 。 


03.05.03 ”路 由 表 


路 由 表 (routing table) 包含 了 路 由 选择 的 必 备 信息 ， 主 要 由 以 
下 各 项 组 成 。 


1. 目的 地 卫 地 址 (Destination Address) : IP 分 组 的 目的 地 
址 。 


2. 子 网 掩 码 (Subnet Mask 或 Network Mask) : 表示 目的 地 IP 
地 址 中 有 多 少 bit 表示 网 络 部 分 。1 与 2 组 合 起 来 能 够 表示 目 
标 子 网 络 信 息 。 


3. 网 天 (Gateway) : 分 组 下 一 步 需要 转发 到 的 IP 地址。 包含 
转发 接口 的 子 网 卫 地址， 通常 是 相 邻 路 由 右 的 网 络 接口 IP 地 
址 。 网 关 也 可 称 为 下 一 跳 (next hop) 。 

4. 网 络 接 口 〈Iterface) : 转发 该 分 组 路 由 器 上 的 接口 。 

5. 度量 值 (Metric) : 当 有 多 条 路 径 可 以 到 达 相 同 目的 地 “《 目 
的 IP 地 址 与 子 网 掩 码 的 值 相同 ) 时 不 同 路 径 的 优先 级 。 该 值 
越 小 表示 优先 级 越 高 。 


以 上 5 个 项 目 汇总 组 成 一 条 路 由 表 的 表 项 ， 也 称 为 路 由 选择 表 
项 (routing entry) 。 


03.05.04 最 长 匹配 与 默认 网 关 


当 耳 分 组 到 达 路 由 器 时 ， 路 由 器 会 参考 IP 的 目的 地 址 信息 ， 
从 路 由 表 中 找到 包含 网 络 地 址 的 路 由 表 表 项 。 


如 末路 由 表 中 存在 该 表 项 ， 则 根据 该 表 项 记载 的 网 络 接口 信 











上 息 ， 转 发 该 分 组 到 对 应 的 网 关 《〈 相 邻 路 由 器 的 下 地 址 ) 。 知 
路 由 表 中 出 现 多 条 表示 同一 个 目的 网 络 地 址 的 表 项 时 ， 则 选择 
子 网 掩 码 最 长 、 度 量 值 最 小 的 表 项 。 这 种 选择 最 长 子 网 掩 码 表 
项 的 方式 也 称 为 最 长 匹配 〈longest match) 。 


如 果 路 由 表 中 不 存在 满足 条 件 的 表 项 ， 则 根据 路 由 表 中 默认 的 
表 项 信息 转发 分 组 。 默 认 路 径 的 IP 地 址 表示 为 0.0.0.0， 子 网 
捧 码 为 0.0.0.0， 使 用 CIDR 时 记 为 0.0.0.00。 经 默认 路 径 的 转 
发 也 称 为 默认 网 关 转 发 。 如 果 路 由 表 中 不 存在 默认 路 径 ， 路 由 
器 会 告知 转发 错误 并 丢弃 该 分 组 。 


默认 网 关 的 范例 
例如 ， 图 3-19 中 路 由 器 A 将 端口 3 设置 为 了 默认 网 天 。 


这 时 ， 个 人 计算 机 A 向 计算 机 C 发 送 分 组 ， 路 由 器 根据 分 组 
中 192.168.3.0/24 的 网 络 地 址 信息 开始 检索 路 由 表 ， 寻 找 需要 
从 哪个 端口 转发 。 由 于 路 由 表 中 没有 该 表 项 ， 因 此 适用 
0.0.0.0/0 表 项 ， 将 数据 表 从 端口 3 转发 出 去 。 


由 于 端口 3 和 互联 网 相连 ， 而 且 除 了 子 网 A 与 子 网 B 之 外 ， 
所 有 发 回 其 他 目的 地 址 的 分 组 均 从 端口 3 转发 ， 因 此 个 人 计算 
机 A 就 可 以 完成 互联 网 的 接 入 了 。 


















转发 目的 地 
转发 目的 地 接口 : eth2 


en 根据 最 长 匹配 ， 相 对 于 192.168.0.0/16， 
“和 择 了 前 级 更 长 的 192.168.0.0/24 

! 

| 






接口 





目的 地 





度量 值 


1 









192.168.1.1 


I 168. 1 i ) 





192.168.1.1 








re 
192.168.0.0/16 


192.168.3.0/24 


图 3-18 最 长 匹配 的 范例 


路 由 器 A 的 路 由 表 
目的 地 网 络 
192.168.1.0/24 端口 1 
192.168.2.0/24 端口 2 
0.0.0.010 端口 3 





互联 网 


图 3-19 默认 路 径 与 默认 网 关 
03.05.05 ”静态 路 由 选择 


网 络 管理 员 在 路 由 器 中 手动 设置 路 由 表 表 项 信息 的 方式 称 为 静 
态 路 由 选择 (static routing) ， 手 动 设置 的 路 由 表 表 项 也 称 为 
静态 路 径 〈static route)。 前 态 路 由 选择 可 以 在 配置 默认 路 径 
或 定义 存根 网 络 (stub network) 时 使 用 。 


所 谓 存 根 网 络 是 指 仅 通 过 1 台 路 由 器 连 接 ， 与 外 部 网 络 之 间 只 
有 一 个 出 入 口 的 网 络 。 





转发 至 192.168.1.0/24 的 网 络 只 
存根 网 络 需 将 10.1.1.1 设 置 为 网 关 即 可 
192.168.1.0/24 


互联 网 





个 人 计算 机 A 
图 3-20 存根 网 络 
使 用 静态 路 由 的 基本 路 由 选择 流程 
1. 个 人 计算 机 A 发 出 分 组 。 


2. 路 由 露 A 接收 到 该 分 组 ， 计 算 IP 首部 校 验 总 和 ， 确 认 结 
是 否 正 确 。 


3. 路 由 右 A 参考 路 由 表 ， 获 取 下 一 跳 的 接口 信息 (图 3-20 中 
下 一 跳 的 地 址 为 10.1.1.2) 。 


4. 路 由 器 A 将 IP 首部 的 TTL 值 减 1。 


5. 路 由 器 A 参照 ARP 表 ， 获 取 下 一 跳 的 MAC 地址 信息 ， 如 
果 无 法 得 到 该 信息 则 进入 ARP 流程 。 


6. 路 由 器 A 根据 下 一 跳 的 MAC 地 址 信息 生成 以 太 网 数据 帧 ， 
并 将 数据 帧 从 接口 转发 全 网 络 。 


03.05.06 ”动态 路 由 选择 


当 网 络 规模 很 大 、 连 接 的 路 由 器 数量 很 多 时 ， 从 物理 层面 上 来 
说 ， 通 过 管理 员 手 动 设置 路 由 表 表 项 信息 是 不 可 能 的 ， 这 时 束 
需要 用 到 动态 路 由 选择 〈dynamic routing) 的 方式 ， 即 在 路 由 
器 之 间 交 换 信 息 自 动 生成 路 由 表 表 项 信息 。 路 由 器 之 间 进 行 信 
恩 交 换 需 要 用 到 路 由 选择 协议 (routing protocol， 也 可 简称 为 
路 由 协议 ) 。 路 由 选择 协议 定义 了 路 由 器 之 间 如 何 交 换 及 存 取 
路 由 信息 的 一 系列 规则 ， 在 路 由 器 之 间 进 行 交 互 时 ， 如 果 使 用 
(进行 处 理 ) 的 路 由 选择 协议 不 匹配 ， 则 无 法 交换 正确 的 路 由 








有 时 网 络 中 会 同时 使 用 静态 路 由 和 动态 路 由 混合 的 路 由 选择 方 
式 。 这 时 在 路 由 表 表 项 中 会 清晰 地 记录 下 哪 条 路 径 属 于 静态 路 
由 条 路 径 属 于 动态 路 由 以 及 后 者 是 使 用 何 种 路 由 选择 协议 


等 


言 妃 


如 果 网 络 使 用 动态 路 由 ， 需 要 耗费 一 定 的 时 间 通 过 交互 的 方式 
从 其 他 路 由 器 中 获取 路 由 信息 ， 因 此 路 由 表 会 形成 逐渐 增 大 的 
态势 ， 最 终 整 个 网 络 上 所 有 的 路 由 器 都 会 携 融 完 成 形态 的 路 由 
表 ， 该 过 程 称 为 收 使 ， 有 时 也 称 为 汇聚 (convergence) 。 路 由 
es 花费 的 时 间 称 为 汇聚 时 间 

(convergence time) ， 汇 聚 时 间 越 得， 路 径 越 稳 定 。 一 般 而 
言 ， 区 你 的 路 由 加 效 目 越 多 ， 路 径 的 汇聚 时 间 越 长 ， 不 过 
OT 算法 不 同 ， 时 间 的 长 短 也 不 


0 在 以 下 情况 会 及 生路 由 器 之 间 的 路 由 信息 交 














*( 网 络 内 首次 运行 路 由 选择 协议 时 。 
a 网 络 内 添加 新 的 路 由 絮 或 链 路 时 。 


a 网 络 内 路 由 器 补 凶 下 或 链 路 被 切断 导致 发 生 故 障 时 。 ( 目 
的 地 网 络 的 角度 ) 


动态 路 由 的 分 类 


路 由 选择 协议 可 以 分 为 在 自治 系统 (AS，Autonomous 
System) 内 部 运行 的 IGP 〈Interior Gateway Protocol， 内 部 网 
关 协 议 ) 和 在 AS 之 间 运 行 的 EPG (Exterior Gateway 

Protocol， 外 部 网 关 协 议 ) 两 类 。 这 里 AS 是 指 ISP 或 学 术科 研 
网 等 在 大 规模 机 构 中 使 用 的 独立 网 络 ， 用 AS 编号 识别 。 


其 中 ， 作 为 EPG 的 代表 在 业内 广泛 使 用 的 是 BGP (Border 
Gateway Protocol， 边 缘 网 关 协 议 ， 具 体内 容 见 本 节 后 文 〉。 





而 IGP 根据 用 途 不 同 ， 也 分 为 不 同 的 种 类 ， 最 常用 的 是 
RIP (Routing Information Protocol， 路 由 信息 协议 ) 和 
OSPF (Open Shortest Path First， 开 放 式 最 短路 径 优先 ) 。 表 
3-13 列 出 了 主要 的 IGP 协议 。 


根据 不 同 的 最 忧 路 径 算法 ，IGP 协议 可 以 细 分 为 距离 矢量 型 
(distance vector) 、 链 路 状态 型 (ink state) 和 混合 型 
(Chybrid) 三 类 。 














距离 矢量 型 是 指 仅 根 据 距离 〈distance ) 和 方向 〈vector) 两 个 
因素 进行 路 由 选择 。 方 回 是 指 从 哪 一 个 接口 转发 ， 距 离 是 指 分 
路 由 选择 时 ， 直 接 选 择 距离 目的 地 跳 数 最 少 的 
路 径 。 


链 路 状态 型 会 完 制作 整个 网 络 的 路 径 地 图 ， 然 后 依据 该 地 图 中 
的 路 径 不 断 地 进行 路 由 选择 。 区 别 于 距离 矢量 型 IGP 协议 中 每 
个 路 由 露 仅 握 有 各 目的 路 由 信息 ， 在 链 路 状态 型 IGP 中 所 有 的 
路 由 器 均 持 有 同一 份 网 络 路 径 地 图 。 


混合 型 是 路 由 选择 时 在 混合 使 用 距离 天 量 型 同 链 路 状态 型 IGP 
协议 。 








表 3-13 主要 的 IGP 协议 


规模 较 
RIP RFC1058 跳 数 小 的 网 
络 





离 规模 较 
RIPv2 RFC2453 跳 数 小 的 网 
络 


距 规模 较 

离 小 的 网 
RIPng (IPv6) ”|RFC2080 | 矢 | 跳 数 络 

量 





OSPF RFC2328 |\,. 
OSPFv3 (IPv6) |RFC2740 |,. 








、 汪汪 于 规模 较 
1 Ee (手动 设置 每 个 网 络 接 大 的 网 


4 和信 吾 复合 度量 值 (带宽 、 时 延 、 可 | 规模 较 

IGRP TA 靠 性 、 负 载 、 MTU 大 小 共 5 “| 小 的 网 
页 络 

思 科 公司 » : 0 市 项、 J 可 规模 较 

EIGRP We 性 、 、MTU 大 小 共 大 的 网 
独 有 络 


RIP 
RIP 路 由 信息 协议 是 动态 路 由 选择 中 历史 最 悠久 的 路 由 协议 ， 















































应 用 于 小 规模 网 络 中 。 路 由 器 使 用 该 协议 与 相 邻 的 路 由 器 交换 
链 路 信息 ， 通 过 贝尔 曼 一 福特 算法 ”找到 最 短路 径 。 





A 


27 即 Bellman-Ford， 由 美国 著名 数学 家 Richard Bellman 和 Lester Ford, Jr 提出 ， 该 
算法 在 图 论 中 和 人 迪 杰 斯 特 拉 的 最 短路 径 算 法 齐名 。 译 者 注 





















































RIP 使 用 的 度量 值 (metric) 是 到 达 目 标 网 络 需 要 经 过 的 跳 数 





(需要 经 过 多 少 个 路 由 器 转发 ) 。 一 般 而 言 ，RIP 在 每 30 秒 
会 更 新 一 次 路 由 信息 ， 因 此 当 上 距离 目的 地 2 跳 时 ， 路 由 信息 的 
获取 需要 30 秒 ; 当 上 距离 目的 地 5 跳 时 ， 则 需要 30 秒 x4， 即 
120 秒 。 这 样 一 来 ， 当 网 路 规模 很 大 时 ， 必 然 会 出 现 路 径 无 法 
收敛 的 情况 ， 因 此 RIP 定义 了 16 跳 “ 无 限 ”* 距 离 。 当 某 个 网 络 
节点 从 相 邻 节点 收 到 度量 值 为 16 跳 以 上 的 表 项 信息 时 ， 则 该 
表 项 源 地址 的 网 络 不 可 达 (unreachable) 。 


RIP 协议 标准 文本 除了 有 单纯 表述 RIP、 由 RFC1058 定义 的 
RIP 版 本 1 (CRIPv1) 以 外 ， 还 有 RFC2453 定义 的 RIP 版 本 
2 (CRIPv2) 和 RFC2080 定义 的 、IPv6 使 用 的 RIPng。 





RIPv1 和 RIPV2 都 使 用 UDP 协议 的 520 端口 完成 路 由 器 之 间 
的 路 由 信息 交换 。 不 同 的 是 ，RIPv1 使 用 广播 通信 而 RIPv2 使 

用 目的 地 址 为 224.0.0.9 的 多 播 通 信 。 另 外 ，RIPv1l 还 是 有 类 路 
了 固定 分 配 A 类 地 址 、B 类 地 址 、C 类 地 址 位 数 
条 目 然 描 人 码 。 


RIPv2 文 持 无 类 路 由 选择 ， 男 外 还 带 有 仅 从 特定 的 路 由 器 上 获 
取 路 由 信息 的 认证 功能 。 


RIPng 使 用 UDP 协议 的 521 端口 和 FF02::9 多 播 地 址 完成 路 由 
器 之 间 的 路 由 信息 交换 。 由 于 IPv6 协议 自 带 了 对 通信 发 起 方 
和 对 方 的 认证 与 加 密 功 能 ， 因 此 RIPng 不 再 携 融 认 证 功能 。 


由 于 RIP 的 实现 非常 简单 ， 因 此 即使 是 内 存 较 小 的 宽带 路 由 器 

也 有 很 多 能 同时 支持 静态 路 由 和 RIP 的 产品 。 另 外 ， 虽 然 

RIPv1 和 RIPV2 可 以 混合 工作 ， 但 此 时 仅 有 RIPV1 生效 ， 所 以 

和 RIP 版 本 ， 尽 量 使 用 同一 
工作 。 


端口 1 端口 2 端口 1 端口 2 端口 1 端口 2 端口 端口 2 





路 由 器 1 


192.168.1.0/24 10.1.1.0/24 
仆 Ne i i 八 a i 4\ i 
| 1 ) 通过 端口 1 直接 [02 2) 端 D 1 和 192 0 端口 1 和 192 (4) 端 D 1 和 192 








168.1.0/24 网 络 有 
3 跳 的 距离 


168.1.0/24 网 络 有 
2 跳 的 距离 


| 相连 192.168.1.0/24 


网 络 














168.1.0/24 网 络 有 
| 1 跳 的 距离 














图 3-21 距离 矢量 型 路 由 选择 概要 


由 于 无 法 了 解 整 个 网 络 的 结构 ， 距 离 矢 量 型 路 由 协议 只 能 依 徘 
来 自 于 相 邻 路 由 器 的 信息 进行 路 由 选择 ， 因 此 会 发 生路 由 环 路 
问题 。 为 了 防止 路 由 环 路 ， 就 需要 使 用 水 平分 制 〈split 
horizon) 技术 避免 同一 条 路 由 信息 回流 到 产生 该 信息 的 端口 
处 ， 或 采用 毒性 逆转 (poison reverse) 方法 ， 给 无 效 的 路 由 信 
奶 设 置 一 个 通信 实体 不 可 达 的 “无 限 大 "度量 值 〈 也 称 为 路 由 破 


坏 ，route poisoning) 。 


在 RIP 协议 中 ， 默 认 每 30 秒 更 新 一 次 路 由 信息 ， 但 如 果 网 络 
中 新 发 现 了 某 条 度量 值 很 小 的 新 路 径 ， 也 会 立刻 目 主 触发 路 由 
(triggered update) 。 这 一 机 制 能 够 缩短 网 络 路 径 的 收敛 
时 间 。 


sm OSPF 











OSPF (Open Shortest Path First) 和 RIP 一 样 ， 同 属于 IGP 
协议 。 尽 管 早 在 1989 年 就 发 布 了 OSPF 第 一 版 的 
RFC1131 标准 ， 不 过 现在 所 说 的 OSPF 一 般 是 指 1998 年 
在 RFC2328 (1998) 中 更 新 的 版 本 2 的 第 四 次 修订 版 。 
OSPF 是 用 于 大 规模 网 络 的 IGP， 因 此 成 为 电信 运营 商 和 
普通 企业 首选 的 路 由 选择 协议 。 另 外 ， 还 有 使 用 多 播 的 
MOSPF (RFC1585)〉 和 对 应 IPv6 的 OSPFv3 (RFC2740， 
OSPF for IPv6) 作为 OSPF 扩展 的 路 由 选择 协议 。 


表 3-14 OSPF 的 特征 


4 








等 价 多 路 径 | 能够 同时 使 用 多 条 等 价 〈 度 量 值 相同 ) 的 路 径 ， 也 称 
(ECMP， | 为 等 价 负 载 均衡 (Equal-cost load balancing ) 

Equal-Cost 

Multipath ) 


EE 与 RIPvV2 类 似 ， 能 够 使 用 明文 (clear text) 或 MD5 散 列 
. 完成 路 由 器 的 认证 


OSPF 属 于 链 路 状态 型 路 由 协议 。RIP、RIPV2 等 距离 
矢量 型 路 由 协议 虽然 能 够 迅速 应 对 自身 以 及 相 邻 路 由 
路 由 的 瞬时 | 器 的 路 径 变 更 ， 但 距离 自己 较 远 的 路 径 发 生变 化 时 ， 
更 路 由 器 本 身 的 收敛 时 间 也 会 变 长 。 而 在 OSPF 中 ， 各 个 
路 由 器 承担 不 同 的 角色 ， 会 同时 更 新 路 由 信息 ， 从 而 
达到 缩短 收敛 时 间 的 效果 


支持 CIDR | 和 RIPv2 一 样 ， 能 够 使 用 子 网 掩 码 以 及 应 用 于 使 用 无 
与 VLSM | 类 网 络 地 址 的 网 络 


在 OSPF 中 ， 度 量 值 因 网 络 带 宽 的 不 同 而 异 。 例 如 ， 即 
根据 带宽 选 | 使 距离 目的 地 的 跳 数 (相隔 的 路 由 器 数量 ) 相同 ， 与 

10Mbit/s 的 以 太 网 相 比 ，100Mbit/s 的 快速 以 太 网 会 获 
得 较 高 的 路 由 选择 优先 级 



















































































OSPF 属于 位 于 IP 层 之 上 工作 在 传 出 层 的 路 由 协议 ， 该 协 
议 的 工作 端口 为 89 表 3-14 总 结 了 OSPF 协议 的 特征 。 


在 OSPF 中 ， 网 络 分 割 为 多 个 区 域 (area) ， 最 终 形成 一 
级 级 连接 到 骨干 区 域 0 的 层级 结构 。 通 过 以 区 域 为 单位 进 
行 管理 ， 能 够 将 网 络 变化 限制 在 在 区 域内 ， 缩 短 收敛 时 
间 。 只 有 区 域 0 构成 的 OSPF 网 络 称 为 单一 区 域 OSPF， 
由 多 个 区 域 构成 的 网 络 则 称 为 多 区 域 OSPF (图 3-22) 。 





, ( As1 ) 
区 域 边缘 路 由 器 
( Area Border Router ) 
区 域 1 区 域 0 
(骨干 区 域 ) CE 
区 域 4 EE 
EE 区 域 3 四 
Cg (AS2 ) 
内 部 区 域 路 由 器 
( Intra-Area Router ) 
AS 边缘 路 由 器 


( AS Border Router ) 


图 3-22 OSPF 的 区 域 与 路 由 类 型 


表 3-15 比较 RIP 与 OSPF 的 特征 
































中 ~ 大 规模 


| 主要 是 中 型 规模 以 上 的 路 由 
器 采用 





























sm BGP 


BGP (Border Gateway Protocol， 边 缘 网 关 协 议 ) 是 在 
AS (Autonomous System， 自 治 系统 ) 之 间 进 行路 由 选择 
的 EGP 协议 。IPv4 所 使 用 的 是 在 RFC1771 中 定义 的 
BGP4 (BGP 版 本 4) ， 而 在 IPv6 中 使 用 的 则 是 由 
RFC2545 定义 的 BGP4+ (BGP for Plus) 协议 。 由 于 BGP 
需要 获取 非常 可 靠 的 大 量 交 互 网 络 信 息 ， 因 此 数据 传输 及 
用 TCP 协议 的 179 端口 进行 。 











在 日 本 ，AS 由 JPNIC?” 进行 管理 ， 包 售 IJ、BIGLOBE、 
So-net 等 互联 网 服务 供应 商 ，KDDI、NTT 等 运营 商 和 大 
学 、 政 府 机 关 等 700 多 个 机 构 ”3 。 


AS 之 则 通过 AS 编号 识别 ， 编 号 为 1~65535 的 16bit 值 。 
其 中 64512~65535 为 私有 AS 编号 ， 与 私有 IP 地 址 一 
样 ， 可 以 在 不 与 互联 网 相连 的 私有 网 络 中 使 用 。 


BGP 使 用 的 路 由 信息 和 IGP 的 路 由 信息 一 般 不 在 一 起 管 
理 。 也 就 是 说 ， 运 行 BGP 的 路 由 器 会 同时 拥有 IGP 和 
EGP 两 张 路 由 表 。 








OSFP 一 般 会 以 传输 媒介 〈 链 路 ) 的 带宽 作为 计算 路 径 的 
成 本 ，BGP 则 会 利用 path 属性 〈path attribute) 来 计算 。 
基于 path 属性 和 方向 的 路 由 选择 称 为 路 径 矢 量 型 〈path 
vector) 路 由 协议 。 


28 该 机 构 相 当 于 我 国 的 CNNIC。 一 一 译 者 注 








”3 通过 下 面 的 站 点 可 以 查阅 到 机 构 所 属 的 AS 编号 。 
http:/www.nic.ad.jp/ip/as-numbers.txt 
http:/www.iana.org/assignments/as-numbers 























其 他 路 由 选择 协议 
a IGRP 


内 部 网 关 路 由 协议 (Interior Gateway Routing Protocol) 是 
由 思科 公司 研发 的 IGP， 和 RIP 一 样 同属 距离 矢量 型 路 由 
协议 。 与 RIP 使 用 跳 数 表示 度量 值 相对 应 ，IGRP 使 用 了 
带宽 、 时 延 、 可 靠 性 、 负 载 、MTU 五 个 参数 复合 来 表示 
IGRP 只 能 在 思科 公司 生产 的 路 由 器 之 间 





sn EIGRP 


和 IGRP 一 样 ， 增 强 型 内 部 网 关 路 由 协议 ‘Enhanced 
Interior Gateway Routing Protocol) 也 是 由 思科 公司 开发 的 
IGP， 是 IGRP 的 改良 版 (enhanced 版 本 ) ， 所 以 命名 为 
EIGRP。 该 路 由 选择 协议 集合 了 距离 天 量 型 和 链 路 状态 型 
的 优点 ， 用 于 大 规模 网 络 中 。 


m IS-IS 
IS-IS 也 是 用 于 大 规模 网 络 的 IGP， 与 OSPF 同属 于 链 路 状 
态 型 的 路 由 协议 ， 不 过 在 AS 之 间 也 可 以 使 用 ， 甚 至 可 以 
用 于 IP 网 络 协议 之 外 的 网 络 。 


IS-IS 是 经 过 OSI 标准 化 的 路 由 协议 。IS (Intermediate 
System， 中 间 系 统 ) 是 指 转发 分 组 的 系统 ， 也 就 是 路 由 








器 。 与 IS 对 应 的 是 ES (End System， 终 端 系统 ) ， 指 的 
是 无 法 进行 路 由 选择 的 主机 。 


与 RFC 标准 化 的 TCP/TP 协议 簇 不 同 ，IS-IS 是 提供 了 OSI 
环境 下 路 由 选择 功能 的 ISO 标准 。ISO 8473 定义 的 

CNLP (Connectionless Network Layer Protocol， 无 连接 的 
网 络 层 协议 ) 和 ISO 9542 定义 的 ES-IS (End System to 
Intermediate System， 终 端 系 统 到 中 间 系 统 ) 协议 。 


IS-IS 与 IP 网 络 中 的 OSPF 类 似 ， 使 用 迪 杰 斯 特 拉 的 SPF 
算法 计算 最 短路 径 。 


路 由 重 分 发 


当 网 络 中 运行 着 多 个 路 由 协议 时 ， 在 路 由 器 内 部 设置 路 由 重 分 
发 (redistribution〉， 束 能 够 在 多 个 路 由 协议 之 间 共 享 路 由 信 
上 县。 例如 ， 可 以 将 通过 BGP 获取 的 外 部 As 相关 路 径 信息 加 
入 OSPF 获取 的 路 由 选择 信息 中 ， 也 能 够 以 静态 路 由 的 方式 回 
其 他 各 类 路 由 选择 协议 分 发 相关 的 路 由 信息 。 在 执行 路 由 重 分 
发 时 ， 需 要 预先 设置 与 分 发 目标 路 由 协议 相 匹配 的 种 子 度量 值 


(seed metric) 。 


需要 注意 的 是 ，Cisco IOS 中 的 种 子 度量 默认 值 会 使 OSPF 在 
路 由 重 分 发 时 ， 由 于 反复 分 发 而 导致 路 由 环 路 的 发 生 ， 还 会 因 
为 错误 的 度量 值 设 置 以 及 不 同 路 由 协议 之 间 收 化 时 间 的 不 同 导 
致 最 短路 径 计 算 失 败 。 


管理 距离 


管理 距离 (administrative distance ) 用 来 表示 路 由 选择 信息 发 
送 方 的 可 信和 度 ， 数 值 越 小 可 信和 度 越 高 。 在 路 由 选择 中 通常 会 使 
用 三 种 路 径 ， 一 种 是 与 路 由 器 直 连 的 网 络 目 的 地 路 径 ， 一 种 是 
静态 路 径 ， 还 有 一 种 是 根据 各 种 路 由 协议 获取 的 路 径 。 表 3-16 
列举 了 这 三 种 路 径 的 管理 距离 示例 。 比 如 ， 路 径 
192.168.1.0/24 与 路 由 器 端口 1 直接 相连 (直接 连 到 网 络 接口 
上 ) 时 ， 由 于 该 路 径 确 实 存在 ， 可 信和 度 可 以 理解 成 无 限 大 ， 使 
用 0 表示 管理 距离 最 远 并 在 路 由 表 中 添加 该 项 。 这 时 在 相同 的 
路 由 器 中 ， 通 过 RIP 协议 获取 了 端口 2 的 输出 目的 地 为 




















192.168.1.0 的 路 径 。 由 于 RIP 协议 比 网 络 接口 直 连 的 可 信和 度 要 
低 “〈 管 理 距离 数值 变 大 ) ， 因 此 通过 RIP 协议 得 到 的 路 径 不 及 
在 路 由 表 中 直 连 的 表 项 ， 所 以 无 法 添加 到 路 由 表 中 。 


表 3-16 Cisco IOS 中 主要 的 管理 距离 〈 默 认 值 ) 


路 由 协议 
网 络 接口 直 连 



































静态 〈 设 置 网 络 接口 ) 








静态 〈 设 置 的 下 一 跳 ) 








不 明 路 径 





表 3-17 各 厂商 文 持 的 路 由 协议 





产品 (操作 系统 ) RIP | OSPF | BGP | IGRP/FIGRP | IS-IS 











注 1: 需要 有 许可 证 方 能 使 用 。 








03.05.07 ”IP 隧道 与 VPN 


某 个 通信 协议 被 其 他 通信 协议 封装 后 进行 转发 传输 的 技术 称 为 
隧道 技术 。 在 处 于 网 络 上 的 两 台 路 由 器 之 间 设 置 障 道 的 话 ， 就 
可 以 在 路 由 器 之 间 根 据 隧 道 协 议 构 建 一 条 虚拟 的 通信 和 链 路 。 如 
图 3-23 所 示 ， 路 由 器 A 接收 到 的 原始 分 组 以 封装 后 的 形态 

Cencapsulation ) 通过 隧道 协议 被 转发 到 目的 地 路 由 器 B 中 。 
路 由 器 B 随后 进行 解 封 装 (decapsulation) ， 还 原 分 组 形态 ， 
并 以 原始 形态 再 次 转发 到 实际 的 目的 地 。 


由 于 该 技术 架设 直 连 通信 两 地 的 隧道 (虚拟 的 ) ， 因 此 也 称 为 
隧道 技术 。 


隧道 协议 有 类 似 L2F、PPTP、L2TP 这 样 将 数据 链 路 层 数 据 帧 
封装 于 IP 分 组 中 的 L2 隧道 协议 ， 还 有 类 似 GRE、IPsec 这 样 
将 网 络 层 分 组 封装 于 IP 分 组 中 的 L3 隧道 协议 。 


隧道 技术 多 用 于 构建 VPN (Virtual Private Network， 虚 拟 私 有 
网 ) 网 络 ， 尤 其 是 使 用 IPsec (参考 第 5 章 ) 构建 加 密 的 VPN 
提供 给 用 户 。 这 时 ，PC-A 和 PC-B 之 间 分 配 的 私有 地 址 处 于 
一 个 网 络 中 ， 而 路 由 器 A 和 路 由 器 也 之 间 则 使 用 全 局 地 址 ， 
在 互联 网 上 相连 并 负责 数据 的 传输 。 





解 封装 





| [加 
人 | 
We- < 

路 由 器 B es 


图 3-23 IP 隧道 技术 的 运行 机 制 

GRE 

GRE (Generic Routing Encapsulation， 通 用 路 由 封装 ) 是 由 思 
科 公 司 开 发 的 隧道 协议 之 一 ， 协 议 编 号 为 43， 在 RFC2784 中 
该 协议 主要 应 用 于 路 由 选择 协议 等 多 播 分 组 的 隧道 传输 。 
GRE 隧道 能 够 将 任意 协议 封装 到 卫 分 组 中 (图 3-24) 。 

由 于 GRE 没有 自 带 加 密 功 能 ， 因 此 无 法 保障 封装 数据 的 安全 


性 ， 可 能 会 被 别 听 。 如 果 需 要 保障 封装 数据 的 安全 性 ， 可 以 使 
用 GRE over IPSec。 





@ 普 通 |P 分 组 
@GRE 封 装 后 的 分 组 





了 ee 


原 IP 分 组 的 部 分 


图 3-24 普通 IP 分 组 与 GRE 封装 后 的 分 组 的 不 同 


0 1 





ee Wd 


Reserved1 ( 可 选项 ) 


从 Checksum Present 比 特 位 。 当 该 位 置 为 1 时 ， 表 示 Checksum 域 和 Reserved1 域 的 值 有 效 。 






Checksum ( 可 选项 ) 





Reserved0 ( 1bit~12bit ) : 接收 方 如 果 没 有 RFC1701 且 1~5bit 在 非 0 时， 丢弃 该 分 组 。6~12bit 预 留 以 便 将 来 使 用 。 

Ver 版 本 号 { Version Number ) ， 一 般 填 0。 

Protocol Type 协议 类 型 。 作 为 有 效 载荷 数据 的 协议 种 类 定义 在 RFC1700 的 ETHER TYPES 中 ， 填 入 
对 应 的 值 。 

Checksum 校 验 总 和 。C 标 志 位 为 1 时 ， 填 入 GRE 首 部 与 有 效 载荷 的 |P 校 验 总 和 。 

Reserved1 预 留 以 便 将 来 使 用 。 


图 3-25 ”GRE 首部 
PPTP 


PPTP (Point to Point Tunneling Protocol， 点 对 点 隧道 协议 ) 是 
由 微软 公司 、Ascend 公司 33 、3Com 公司 等 共同 开发 设计 的 
VPN 协议 。Windows 操作 系统 从 Windows NT4.0 开始 支持 该 
协议 ， 在 Windows XP/Vista/7 中 同样 可 以 使 用 。 由 于 该 协议 设 
置 简单 ， 因 此 即使 是 购买 于 家 电 专 卖 店 的 廉价 宽带 路 由 器 也 提 
供 了 PPTP 服务 器 功能 。 该 协议 通常 用 于 需要 远程 接 入 小 规模 
网 络 的 情况 。 


| 2 擅长 ATM 等 数 通 技术 的 公司 ， 也 有 容错 计算 机 业务 ， 于 1999 年 被 当时 的 朗讯 
| 科技 收购 。 一 一 译 者 注 




















PPTP 使 用 PPP (Point-to-Point Protocol， 点 对 点 ) 数据 帧 封装 
IP 分 组 ， 在 IP 网 络 上 通过 隧道 进行 传输 。 与 RAS (Remote 
Access Service， 远 程 访问 服务 ) 服务 器 进行 PPP 连接 。 


在 以 前 使 用 电话 线 拨号 上 网 时 ， 连 接 的 接 入 点 中 会 有 提供 用 户 
认证 、IP 地 址 分 配 、 接 入 互联 网 等 服务 的 服务 器 ， 类 似 这 样 的 
服务 器 被 称 为 RAS 服务 器 。RAS 服务 器 狭义 是 指 Windows 终 
端 使 用 PPTP 进行 连接 的 PPTP 服务 器 ， 广 义 上 则 包含 了 能 够 
接受 远程 终端 通过 各 种 隧道 协议 进行 访问 的 VPN 集线器 和 终 
端 服务 器 。 

在 隧道 中 PPTP 协议 使 用 改 展 版 的 L3GRE 隧道 协议 ， 和 GRE 


同样 使 用 47 号 协议 ， 建 立 、 监 控 隧 道 时 使 用 TCP 协议 的 1723 
端口 。 


在 运行 PPTP 隧道 协议 的 设备 中 〈 即 在 PPTP 服务 器 与 PPTP 
客户 端 之 间 ) ， 如 果 设 置 了 防火 墙 ， 需 要 保证 前 面 提 到 的 端口 
是 处 于 打开 的 状态 。 

PPTP 在 最 初 是 为 了 用 于 远程 接 入 而 开发 的 。 所 谓 远 程 接 入 是 
指 用 户 在 家 中 或 出 差 途中 通过 互联 网 接 入 用 户 所 在 的 公司 网 


络 。 但 目前 PPTP 已 不 再 局 限于 远程 接 入 的 应 用 ， 也 可 以 应 用 
在 LAN-to-LAN 的 连接 中 。 


CN 是 指 像 公司 的 各 分 文 机 构 那 样 将 网 络 互联 的 形 




















PPTP 仍旧 使 用 了 PPP 的 认证 与 加 密 方式 。 需 要 加 密 时 ， 首 先 
使 用 MS-CHAP (Microsoft Challenge Handshake Authentication 
Protocol ， 挑 战 握手 认证 协议 ) 进行 认证 ， 然 后 再 进行 加 密 。 
其 中 加 密 算法 在 北美 采用 128 位 的 RC4， 在 世界 范围 则 是 采用 
40bit 的 RC4 算法 。 


PPTP 协议 因为 有 微软 公司 的 参与 ， 所 以 可 选择 的 客户 端 环境 
| ，Windows 系列 的 操作 系统 即 可 作为 PPTP 的 标准 客 
户 端 


不 过 ， 目 前 从 PPTP 协议 的 设计 以 及 实现 中 也 发 现 了 很 多 问 
题 ， 尤 其 是 40bit 的 RC4 加 密 强 度 过 低 ， 使 得 该 协议 的 安全 性 
令 人 担忧 。 因 此 在 互联 网 中 使 用 VPN 时 ， 知 考虑 到 加 密 安 全 
性 ， 还 是 使 用 IPsec-VPN 或 SSL-VPN 更 有 保障 。 


L2TP 


L2TP (Layer 2 Tunneling Protocol，L2 隧道 协议 ) 定义 于 
RFC2661 标准 。 


L2TP 协议 充分 结合 了 微软 公司 基于 PPP 的 PPTP 隧道 技术 和 
思科 公司 独 有 标准 L2F (Layer 2 Forwarding，L2 转发 协议 ) 
这 两 者 的 优点 。 


L2TP 是 属于 VPDN (Virtual Private Dialup Network， 虚 拟 专用 
拨号 网 ) 的 网 络 协议 ， 用 于 拨号 用 户 接 入 私有 网 络 。 


Don 
1 PSTN 上 ISP 网 络 < Ba 

DOon 

DIDD 
2 站 
用 户 NAS ( LAC ) GW (LNS) 。 公司 内 部 网 络 


ee PPP 一 


二 L2TP 一 


PSTN :， Public Switched Telephone Network ( 公共 电话 网 ， 即 固定 电话 网 络 ) 

NAS : Network Access Server ( 帮助 用 户 从 电话 线路 以 及 ADSL 线 路 连接 到 互联 网 的 
接 入 点 服务 器 ) 

ISP 。”; Internet Service Provider ( 互联 网 服务 供应 商 ) 

GW ; Gateway ( 网 关 、 路 由 器 ) 


图 3-26 L2TP 的 接 入 方式 


用 户 在 家 中 通过 电话 线路 连接 到 公司 网 络 时 的 网 络 拓扑 逻辑 如 
图 3-26 所 示 。NAS (Network Access Server) 意 为 网 络 接 入 服 
务 器 ，L2TP 中 则 将 其 称 为 LAC (L2TP Access Concentrator， 
L2TP 接 入 集线器) 。 用 户 使 用 PPP 连接 工具 开始 PPP 连接 
后 ，NAS 会 收 到 连接 请 求 ， 并 在 ISP 内 的 认证 服务 器 完成 简单 
认证 。 与 此 同时 ，NAS 将 接 入 GW， 公 司 内 部 网 络 认 证 服务 器 
也 会 完成 对 NAS 的 认证 。 当 认证 均 通 过 后 ， 就 完成 了 L2TP 
隧道 的 建立 。 


图 3-26 中 的 GW 属于 公司 的 网 关 〈《 入 口 路 由 器 〉， 该 网 关 在 
L2TP 中 称 为 LNS (L2TP Network Server，L2TP 网 络 服务 

器 ) 。PPP 协议 封装 在 L2TP 隧道 协议 中 ， 用 来 完成 终端 和 
GW 的 连接 。 


以 FLET'sS1 ADSL 为 例 ，ISP 是 NTT 东西 地 区 公司 ， 公 司 内 部 
网 络 则 是 各 供应 节点 (provider) ， 想 要 从 自己 家 中 接 入 到 互 
联网 的 用 户 可 以 通过 PPP 协议 接 入 各 供应 节点 ， 再 从 供应 节点 
连 入 互联 网 (图 3-27) 。 
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电信 品牌 ， 和 中 国电 信 的 “我 的 e 家 ”类 似 。 一 一 译 者 注 
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图 3-27 FLET'sADSL 中 的 L2TP 


IPv6 隧道 


IPv6 over IPv4 隧道 


IPv6 over IPv4 隧道 是 指 通过 IPv4 的 网 络 传输 IPv6 的 通信 
机 制 。 在 图 3-28 中 ， 从 发 送 方 路 由 过 来 的 IPv6 分 组 在 作 
为 隆 道 入 口 的 路 由 器 A 中 被 加 上 了 IPv4 的 首部 ， 也 就 是 
说 IPv6 的 分 组 被 封装 成 了 IPv4 分 组 ， 此 时 IPv6 的 分 组 就 
可 以 当 作 IPv4 分 组 进行 路 由 操作 了 。 


当 该 分 组 通过 IPv4 网 络 到 达 隧 道 出 口 的 路 由 器 B 时 ， 在 
该 处 去 掉 之 前 添加 的 IPv4 首部 ， 完 成 IPv4 的 解 封装 ， 并 
将 解 封 装 后 的 IPv6 分 组 转发 到 IPv6 网 络 进行 后 面 的 路 由 


[| | IPv6 NW IPv6 NW | | 
E: Cg IPv4 NW | Cg A 


IPv6 PC 本 全 全 于 IPv6 PC 


图 3-28 IPv6 over IPv4 隧道 的 连接 方式 


IPv6 over IPv4 有 多 种 实现 方式 ， 有 使 用 地 址 6to4 的 6to4 
封装 技术 ， 也 有 通过 在 NAT 环境 下 也 可 使 用 的 UDP 来 进 
行 封 装 的 Teredo 技术 ， 还 有 用 于 将 IPv6 数据 导入 使 用 私 
有 地 址 的 Intranet 中 的 ISATAP 技术 。 


IPv4 over IPv6 隧道 





使 用 IPv6 网 络 进 行 IPv4 分 组 的 通信 机 制 。 像 FLET's 光 
Next33 那样 需要 在 IPv6 网 络 中 进行 IPv4 通信 时 ， 必 须 将 
IPv4 的 分 组 封装 到 IPv6 的 分 组 中 进行 传输 。 

















3 同 为 日 本 某 电 信 品 牌 。 一 一 译 者 注 





03.05.08 IP 多 播 
什么 是 多 播 


多 播 是 癌 多 个 接收 者 同时 发 送 相同 数据 的 过 程 ， 一 般 用 于 同时 
传输 动态 画面 等 情况 。 构 成 多 播 网 络 的 路 由 器 可 以 将 特定 主机 
发 送 的 多 播 分 组 复制 并 转发 到 其 他 多 个 网 络 节 点 。 多 播 分 组 发 
送 源 主机 称 为 source 或 sender， 接 收 的 终端 则 称 为 listener 或 


TeCcelver。 


在 多 播 中 ， 多 个 接收 多 播 数据 的 终端 会 被 分 组 ， 每 个 多 播 组 的 
识别 号 使 用 IPv4 的 224.0.0.0/4、IPv6 中 的 ff00::/8 等 范围 的 多 
播 地 址 。IPv4 多 播 地 址 的 分 类 如 表 3-18 所 示 。 


表 3-18 IPv4 多 播 地 址 分 类 





Local Network | 224.0.0.0~224.0.0.255 常用 于 OSPF、RIPv2、VRRP 
Control Block | (224.0.0/24) 等 内 部 网 络 中 的 通信 控制 协议 


























Internetwork 224.0.1.0~224.0.1.255 常用 于 在 NTP 等 跨 互联 网 的 通 
Control Block | (224.0.1/24) 信和 控制 协议 








224.0.2.0-224.0.255.255， | wap A 
224.3.0.0-224.4.255.255， | 中 用 于 没有 包含 在 Local 


Network/Internetwork Control 
233.252.0.0- v 
233.255.255.255 Block 中 的 应 用 程序 








AD-HOC Block 




















用 于 使 用 Session 
SDP/SAP 224.2.0.0-224.2.255.255 Rm nt Bro eal 


Block (224.2/16) 信 地 址 的 应 用 程序 


Source-Specific | 232.0.0.0-232.255.255.255 
Multicast Block | (232/8) 用 于 SSM 


GLOP Block i 与 16bit 的 AS 编 号 关联 使 用 





图 3-29 中 ， 在 232.0.0.1 与 232.0.0.2 两 个 多 播 组 中 正在 传输 分 
组 。 左 侧 两 个 listener 接收 232.0.0.1 多 播 组 的 分 组 ， 右 边 两 个 
listener 接收 232.0.0.2 组 的 分 组 ， 而 位 于 中 央 的 listener 能 够 同 
时 接收 两 组 的 分 组 。 


(发 送 源 ) 
(多 播 网 络 ) 





A =- 
-pd 
pp 


232.0.0.2 
232.0.0.1 on 232002 
232.00.1 
( 多 播 地 址 ，232.0.0.1 ) 232n02 ( 多 播 地 址 : 232.0.0.2 ) 


图 3-29 多 播 数据 转发 的 流程 


在 接收 终端 通过 应 用 程序 对 多 播 进行 设置 ， 就 可 以 设置 

NIC (Network Interface Card， 网 卡 ) ， 使 得 终端 能 够 获取 发 
问 接 收 多 播 卫 地 址 对 应 的 、 多 播 MAC 地 址 的 以 太 网 帧 格式 ， 
从 而 完成 多 播 分 组 的 接收 。 


多 播 的 MAC 地 址 
sa。 IGMP 与 MLD 
在 IPv4 协议 中 使 用 IGMP (Internet Group Management 
Protocol，Internet 组 管理 协议 ) 协议 来 管理 各 终端 是 否 加 
入 或 退出 ) 多 播 组 以 及 加 入 (或 退出 ， 哪 个 多 播 组 。 这 
个 协议 如 表 3-19 所 示 ， 存 在 多 个 版 本 。 


MLD 是 ICMPv6 的 附属 协议 ，IGMPv2 对 应 MLDv1， 
IGMPv3 对 应 MLDv2。 


表 3-19 IGMP 与 MLD 版 本 


IPv4 1IPv6 
IGMPv1 ( RFC1112 ) 一 


IGMPv2 ( RFC2236 ) MLDv1 { RFC2710) 














IGMRPv3 ( RFC3376 ) MLDv2 ( RFC3810 ) 





多 播 路 由 选择 协议 
m PIM-SM 与 PIM-DM 
在 对 多 播 分 组 进行 路 由 的 协议 中 还 有 PIM。 


PIM-SM (Protocol Independent Multicast Sparse Mode, 
RFC2362) 属于 路 由 器 动态 生成 路 径 信 息 的 协议 。 由 于 
PIM 是 基于 单 播 路 由 选择 运行 的 多 播 路 由 协议 ， 因 此 PIM 
在 实际 实现 时 需要 与 RIP 或 OSPF 等 路 由 协议 协同 工作 。 
SM (Sparse Mode， 稀 踊 模 式 ) 用 于 listener 处 于 游离 分 散 
状态 时 进行 高 效 通信 。DM (Dense Mode， 笛 密 模式 ) 用 
于 listener 处 于 密集 状态 时 进行 高 效 通信 。 


sm PIM-SSM 





PIM-SSM (Source Specific Multicast， 源 特定 多 播 ) 是 
PIM-SM 的 扩展 协议 ， 将 多 播 源 信息 通知 上 一 级 PIM 路 由 
器 以 提高 安全 性 ， 与 SSM 相对 的 是 源 不 特定 的 

ASM (Any Source Multicast， 任 意 源 多 播 ) 方式 。 


SSM 在 实现 时 需要 使 用 IGMPv3 并 指定 源 卫 地 址 。 
DVMRP 


DVMRP (Distance Vector Multicast Routing Protocol， 距 离 
矢量 多 播 路 由 选择 协议 ) 协议 是 在 RFC1075 中 定义 的 距 
离 矢 量 型 的 路 由 选择 协议 ， 其 中 具体 考虑 了 DV (Distance 
Vector) 的 应 用 。 访 协议 最 早 开发 于 20 世纪 90 年 代 ， 是 
最 早 的 多 播 路 由 选择 协议 ， 从 1992 年 开始 ， 在 多 播 实 验 
网 MBONE (Multicast Backbone， 多 播 主 干 网 ) 中 得 到 具 
体 应 用 (现在 的 MBONE 已 使 用 PIM-SM) 。 运 行 
DVMBRP 的 路 由 器 之 间 会 交换 发 往 目 的 地 的 单 播 路 径 信 
尽 ， 并 使 用 这 些 路 径 信 息 通 过 RPF (Reverse Path 
Forwarding， 逆 回路 径 发 送 ) 进行 转发 。 当 在 进行 RPF 的 
过 程 中 遇 到 不 支持 DVMRP 协议 的 路 由 器 时 ， 使 用 卫 隧 
道 技术 即 可 解决 问题 。 在 早期 的 MBONE 中 由 于 存在 很 多 
不 文 持 DVMRP 的 路 由 器 ， 因 此 不 得 不 大 量 使 用 IP 隧道 
构成 整个 MBONE 网 络 。 


桌面 式 路 由 器 几乎 都 不 文 持 多 播 路 由 ， 不 过 会 文 持 表 3-20 
中 列 出 的 与 多 播 相关 的 功能 。 


表 3-20 ”更 面 式 路 由 吉文 持 的 多 播 相关 功能 








用 于 管理 和 侦 听 多 播 分 组 ， 阻 止 无 用 IP 多 播 分 
组 的 泛滥 〈flooding ) 





























Mnulticast 隧道 传输 | 与 Snooping 功能 组 合 使 用 ， 用 于 提高 在 无 线 
模式 LAN 中 IP 多 播 分 组 的 可 靠 性 








03.06 ”了解 路 由 器 搭载 的 各 种 附加 功能 


尽管 路 由 器 是 执行 路 由 选择 的 网 络 硬件 ， 但 也 同时 提供 了 其 他 
各 种 各 样 的 功能 。 


03.06.01 路 由 器 功能 的 分 类 


路 由 器 是 位 于 网 络 层 并 主要 提供 路 由 选择 功能 的 网 络 人 硬件 ， 但 
也 能 够 完成 在 路 由 器 以 太 网 接口 处 理 以 太 网 数据 帧 等 属于 数据 
链 路 层 和 物理 层 的 相关 操作 。 另 外 ， 最 新 的 路 由 器 甚 全 还 提供 
了 安全 保障 功能 、 涉 及 卫 电话 的 VoIP 功能 等 属于 传输 层 和 应 
用 层 的 相关 功能 。 


尽管 路 由 器 厂商 提供 的 功能 各 不 相同 ， 但 大 致 可 以 分 为 以 下 几 
个 类 型 ， 如 表 3-21 所 示 。 


表 3-21 路 由 需 的 主要 功能 





















































TCP/IP (NAT、 路 由 i 
IPsec-VPN、 QoS 


























LAN 交换 、LAN 以 外 的 物理 层 与 数据 链 路 层 协议 、 
WAN、 无 线 LAN 











LAN 交换 功能 请 参考 本 书 第 2 章 ， 安 全 保障 与 VPN 请 参考 本 
书 第 5 章 ， 无 线 LAN 等 内 容 可 以 参考 本 书 的 第 6 章 。 


03.06.02 ”支持 TCP/IP 以 外 的 协议 簇 
AppleTalk 


AppleTalk 是 指 Apple 公司 在 Mac 操作 系统 中 提供 的 专用 网 络 
功能 ， 也 可 以 指 实现 该 网 络 功能 时 用 到 的 一 系列 协议 。 随 着 
TCP/IP 的 普及 ，Apple 公司 最 近 的 产品 也 已 开始 逐步 剥离 
AppleTalk， 从 Mac OS X 10.6 开始 就 不 再 支持 AppleTalk。 不 
过 Cisco IOS 以 及 CentreCOM34 依然 提供 对 其 的 支持 。 


34 Allied Telesis 公司 的 网 络 操作 系统 。 一 一 译 者 注 








DECnet 


DECnet 是 美国 DEC 公司 〈 现 属 HP 公司 ) 3 于 1975 年 发 布 
的 网 络 产品 集合 的 总 称 。 该 网 络 协议 用 于 DEC 公司 小 型 机 之 
间 的 互 连 ， 目 前 Cisco IOS 提供 对 其 的 支持 。 





33 该 公司 是 小 型 机 的 先驱 ，PDP 系列 小 型 机 曾 创下 一 代 辉 煌 ， 后 由 于 PC 的 兴起 
被 康 相公 司 收购 ， 随 后 康 柏 又 被 HP 收购 。 一 一 译 者 注 












































Novell IPX 


Novell IPX 是 Novell 公司 开发 的 网 络 层 和 传输 层 协 议 。 

IPX (Internet Packet Exchange， 互 联网 分 组 交换 ) 一 般 用 于 
Novell 公司 开发 的 NetWare 操作 系统 ， 网 络 层 中 使 用 IPX 地 
址 。 直 至 20 世纪 90 年 代 初 ，Novell IPX 都 是 在 企业 LAN 中 
使 用 ， 但 是 现在 已 经 很 少 使 用 了 。 


Cisco IOS、CentreCOM、YAMAHA RT 系列 提供 了 对 该 协议 
的 支持 。 


表 3-22 各 厂商 对 各 个 协议 簇 的 文 持 情 











Cisco IOS 路 由 器 





03.06.03 LAN 交换 


大 多 数 宽带 路 由 器 都 有 一 个 WAN 端口 和 若干 个 LAN 端口 。 
家 性 以 及 小 规模 办 事 处 可 以 将 多 人 台 个 人 计算 机 连接 LAN 端 
口 ， 并 通过 WAN 端口 接 入 到 互联 网 。 与 此 同时 ， 各 个 LAN 
端口 之 间 也 色 Ee 名 交换 数据 


除了 宽带 路 由 喜之 外 ， 其 余 类 型 的 路 由 需 也 能 够 在 多 个 接口 之 
间 交 换 LAN。 


有 关 LAN 交换 的 详细 内 容 可 以 参考 本 书 第 2 章 。 

03.06.04 支持 ELAN 以 外 的 物理 层 和 数据 链 路 层 协议 
如 今 大 多 数 互 联网 均 是 通过 以 太 网 完成 互 连 的 。 以 太 网 原本 是 
用 于 局 域 网 (LAN) 的 技术 ， 但 上 自从 万 兆 以 太 网 出 现 之 后 也 开 
始 逐 渐 应 用 于 广域网 (WAN) 了 。 


ee 
23 月 不 。 


表 3-23 数据 链 路 层 协议 











称 说 明 


High-Level Data Link Control 〈 高 级 数据 链 路 控制 ) 的 简称 ， 属 于 ISO 标 
准 的 数据 链 路 层 协议 ， 以 了 BM 公 司 在 20 世 纪 70 年 代 中 期 提出 的 、 用 于 
SNA (Systems Network Architecture， 系 统 网 络 体系 结构 ) 环境 2 的 
SDLC 〈Synchronous Data Link Control， 同 步 数据 链 路 控制 ) 协议 为 原型 
改进 而 成 。 以 HDLC 协 议 进 行 通信 的 分 组 称 为 HDLC 数 据 帧 
8bit 8bit 或 16bit 16bit 
1 | 一 


8bit 0 或 者 8bit 的 倍数 ( 长 度 可 变 ) ”8bit ( 可 选 ) 
由 RFC1661 定 义 ，HDLC 协 议 是 PPP 的 基础 ， 即 在 物理 链 路 上 进行 数据 封 
装 要 以 HDLC 为 依据 。PPP 协 议 数据 链 路 层 中 的 LCP 完 成 链 路 的 建立 、 设 


置 、 认 证 和 检测 ，NCP 完 成 IP、IPX、AppleTalk 等 网 络 层 协议 的 选 定 与 设 
置 











HDLC 





























NCP (Network Control Protocol) 


关外 


HDLC (High-Level Data Link Control) 

















PPP 还 提供 下 面 这 些 功能 。 

e 多 种 网 络 协议 的 链 路 复 用 〈MP，Multilink PPP) 
e 链 路 质量 测试 

e 首部 压缩 (Predictor、Stacker、MPPC ) 

e 链 路 配置 

e 用 户 认证 (PAP 或 CHAP) 

e 出 错 检测 (Magic Number) 


Asynchronous Transfer Mode 〈 有 异步 传输 模式 ) 的 简称 。 属 于 数据 链 路 层 
的 通信 协议 ， 可 以 使 用 逻辑 链 路 进行 异步 数据 交换 。 数 据 单元 信 元 
(cell) 采用 53 字 节 的 固定 长 度 ， 其 中 5 字 节 为 首部 ，48 字 节 为 有 效 载 

ATM | 荷 。 原 计划 用 于 扩展 普通 电话 线路 的 B-ISDN 中 ， 和 截至 2000 年 左右 速率 提 
升 到 OC-12 〈622Mbits) ， 但 最 近 已 经 不 太 使 用 。 在 高 速 WAN 传 输 线 路 
中 取而代之 的 是 POS (Packet over SONET) 或 者 基于 MPLS 的 、 以 太 网 数 
据 帧 和 了 了 分 组 的 传输 


分 组 通信 方式 的 一 种 。 通 信 方 式 比 X.25 网 络 更 简单 ， 但 整个 通信 网 络 的 
可 靠 性 较 差 。 该 协议 的 错误 纠正 在 上 层 进行 ， 通 过 使 用 品质 优良 的 线 
缆 ， 能 够 降低 噪音 带 来 的 影响 以 及 线路 本 身 发 生 故 障 的 概率 。 可 以 提供 
1.5Mbit/s 速 率 的 通信 业务 。NTT 通 信 提 供 过 一 个 名 为 super relay-FR 的 通 
信 业 务 ， 即 使 用 了 该 类 协议 技术 ， 不 过 该 业务 于 2011 年 3 月 终止 


Multiprotocol Label Switching (多 协议 标签 交换 ) 的 简称 ， 在 RFC3031 中 






































































































































进行 了 标准 化 。 参 与 通信 的 分 组 不 再 像 了 路 由 那样 根据 地 址 信息 进行 路 
ee ， 并 以 此 为 依据 选择 选择 下 个 
转发 的 路 由 器 。 由 于 路 由 器 不 再 进行 路 | 选择 ， 仅仅 负责 转发 分 组 ， 
此 该 协议 可 以 用 在 需要 高 速 转发 分 组 的 情况 。MPLS 主 要 应 用 于 电信 运营 
商 的 路 由 器 ， 构 建 电 信 运 营 商 或 大 型 企业 的 大 规模 网 络 


Resilient Packet Ring (弹性 分 组 环 〉 的 简称 ， 在 IEEE 802.17 标 准 中 定 
义 。 使 用 光纤 构成 带宽 共享 的 环形 链 路 ， 拥 有 发 生 故 障 时 能 够 在 50 坚 秘 
内 折 回 的 RPR 保护 技术 。 物 理 层 文 持 以 太 网 以 及 SONETSDH 


PPP over SONET 的 简称 ， 在 RFC1662 (PPP in HDLS-like Framing ) 和 
RFC2615 (PPP over SONETVSDH) 中 定义 。 该 协议 使 PPP 分 组 可 以 无 需 
使 用 ATM， 直 接 封装 成 SONET/SDH 数 据 帧 的 形式 在 网 络 上 传输 































































































36 该 环境 用 于 IBM 大 型 机 、 中 型 机 等 之 间 的 互联 ， - 
封闭 网 络 系统 ， 目 前 也 已 向 开放 的 TCP/IP 过 渡 。 
者 注 


表 3-24 中 总 结 了 除 以 太 网 以 外 ， 路 由 器 使 用 的 物理 层 协 议 
SONET/SDH 的 详细 内 容 。 


表 3-24 物理 层 协议 
PR 


由 Bellcore 公 司 〈 现 在 的 Telcordia 公 司 ) 37 以 

SONET (Synchronous Opitical NETwork) 的 名 称 提出 ， 
ITU-T38 以 SDH (Synchronous Digital Hierarchy) 的 名 称 进 
行 了 国际 标准 化 。 在 北美 地 区 一 般 称 为 SONET， 在 欧洲 地 
区 则 大 多 称 为 SDH， 因 此 记 为 SONET/SDH。 该 标准 定义 了 
光 进 行 多 模 传 输 的 数据 帧 格式 ， 该 格式 中 包含 了 传输 速度 
以 及 控制 信号 等 信息 。SONET 使 用 OC-n (Optical Carrier ) 
来 表示 传送 速率 





























有 效 载荷 
传输 速 带宽 
率 系 列 i | (kbit/s) 





OC-3 STS-3 5 150,336 155.520Mbit/s 


OC-12 |STS-12 |STM- |601,344 622.080Mbit/s 


SONET/SDH ||oc-24 |sTS-24 -| 1,202,688 |1.244160Gbit/s 


oc | 48 |STS-48 | 2,405,376 |2. 2488320Ghivs 


oe ST™ 
OC-192 9,621,504 |9.953280Gbit/s 
STS- STM 
OC-768 |38,486,016 | 39.813120Gbit/s 











有 效 载荷 
(Multiplexer 
Section 
Overhead 








125 微 秒 
SONET 的 数据 帧 格式 





37 Telcordia 公司 在 2012 年 1 月 被 瑞典 爱立信 公司 收购 。 
一 一 译 者 注 


咯 妈 著名 的 国际 电 联 组 织 ， 其 发 布 的 规范 往往 有 着 很 高 的 
权威 。 


P 分 组 以 SONET/SDH 数据 帧 格式 进行 传输 时 ， 路 由 堪 内 会 进 
行 如 下 处 理 。 


a 发 送 时 








IP>PPP3FCS generation>Byte stuffing>Scrambling>SONET/SDH fra 


a 接收 时 


SONET/SDH framing->Descramb1ling>Byte destuffing>FCS detection 





Cable Network (DOCSIS、 缆 线 调制 解 调 器 等 ) 

通过 使 用 有 线 电 视 网 络 (CATV) ，CATV 局 端 也 能 够 为 用 户 
提供 互联 网 接 入 服务 3 。 在 ADSL、FTTH 普及 之 前 ，CATV 
网 络 就 曾 加 用户 提供 速率 为 几 Mbits 的 宽带 接 入 服务 。 


| ”与 中 国 上 海地 区 的 “有 线 通 " 业 务 相似 。 一 一 译 者 注 








这 种 互联 网 接 入 需要 在 CATYV 局 端 到 用 户 住宅 的 前 半 段 路 程 
使 用 光纤 线路 ， 通 过 OE (Optical/Electronic signal converter ) 
即 光纤 / 电气 信号 转换 器 将 光 信 号 变 为 电气 信号 ， 后 半 段 路 程 
再 使 用 同 轴 电 缆 完 成 数据 的 交互 。 


而 在 用 户 住宅 一 端 则 使 用 同时 带 有 WAN 侧 同 轴 电 统 接 口 和 
LAN 侧 以 太 网 接口 的 统 线 调制 解 调 器 (cable modem) ， 将 个 
人 计算 机 与 CATYV 网 络 相 连 。 (图 3-30) 








— 





图 3-30” 比 线 调制 解 调 器 


在 CATYV 局 端 所 配置 的 路 由 器 称 为 统 线路 由 器 《cable router) 
或 中 心 调制 解 调 器 (center modem) 。 


连接 统 线 路 由 器 和 统 线 调制 解 调 右 的 通信 方式 在 早期 随 广 商 的 
不 同 而 不 同 ， 但 目前 使 用 的 设备 基本 都 符合 1997 年 美国 





CATYV 同业 协会 MCNS (Multimedia Cable Network System 
Partners) 制定 的 DOCSIS (Data Over Cable Service Interface 
Specifications) 标准 。 


使 用 同 轴 电 缆 和 光纤 混合 组 网 时 ，90~600MHz 带宽 供 有 线 电 

视 业 务 使 用 ，10~55MHz 带宽 中 1.6~6.4MHz 作为 上 行 带宽 
(从 接 入 用 户 到 CATYV 局 端 ) 、600~770MHz 带宽 中 的 6MHz 

作为 下 行 带宽 (从 CATYV 局 端 到 接 入 用 户 ) 提供 给 

入 业务 。 表 3-25 总 结 了 DOCSIS 各 个 版 本 之 间 频 率 带 宽 和 

率 的 不 同 之 处 。 


表 3-25 DOCSIS 各 版 本 之 间 的 差异 








频率 带宽 : 6MHz 
频率 带宽 : 0.2~3.2MHz | 调制 方式 : 
调制 方式 : QPSK、 64QAM、 
16QAM 256QAM 
最 大 速率 : 10.24Mbits | 最 大 速率 : 
42.88Mbit/s 














频率 带宽 : 6MHz 
频率 带宽 ， 0.2~3.2MHz | 调制 方式 : 








调制 方式 : QPSK、 64QAM、 

16QAM 256QAM 

最 大 速率 :10.24Mbit/s | 最 大 速率 : 
42.88Mbit/s 








频率 带宽 : 6MHz 
频率 带宽 : 0.2~6.4MHz | 调制 方式 : 
调制 方式 : QPSK、 64QAM.、 
8/16/32/64/128QAM 256QAM 
最 大 速率 : 30.72Mbit/s | 最 大 速率 : 
42.88Mbit/s 





























频率 带宽 ，0.2~6.4MHz | 频率 市 宽 : 6MHz 
DOCSIS 调制 方式 ， QPSK、 调制 方式 : 
3.0 信道 绑 定 、IPv6、 | 8/16/32/64/128QAM 64QAM.、 
(2006 |AES 加 密 最 大 速率 : 256QAM 


























二 





最 大 速率 : 
mx42.88Mbit/s 


年 ) mx30.72Mbit/s 注 




















注 1: DOCSIS 3.0 的 信道 绑 定 (channel bonding) 能 够 提高 同时 使 用 多 个 信道 时 的 
通信 速率 。m 表示 信道 的 数量 ， 假 定 上 行 中 m=4， 下 行使 用 m=4 或 m=8 的 情况 比 
较 多 。 





















































XDSL 


日 本 从 1999 年 开始 在 商用 宽 囊 领域 使 用 ADSL 技术 。 因 为 在 
那 之 前 使 用 的 拨号 或 ISDN 均 属 于 按 量 收费 的 罕 带 系统 ， 因 此 
可 以 说 是 ADSL 使 定额 付费 的 高 速 互联 网 接 入 服务 得 到 了 普 
及 。 


ADSL 是 通过 在 双 绞 线 的 固定 电话 线 绕 (金属 线路 ) 上 复 用 数 
字 信 号 来 接 入 互联 网 的 DSL (Digital Subscriber Line， 用 户 数 
字 线 路 ) 线路 之 一 。 由 于 该 线路 下 行 (从 NTT 局 端 4 至 用 户 
侧 ) 和 上 行 〈 从 用 户 侧 到 NTT 局 端 ) 的 速率 不 同 ， 因 此 称 为 
非 对 称 数 字 用 户 线路 (Asymmetric DSL) 。 














40 NTT 局 端 指 运 营 商 的 局 端 。 一 一 译 者 注 


在 ADSL 中 ， 用 户 和 NTT 局 端 之 间 使 用 固定 电话 线 缆 连 接 ， 
用 户 家 中 使 用 的 ADSL 调制 解 调 器 和 运营 商 局 端 使 用 的 宽带 远 
程 接 入 服务 器 (Broadband Remote Access Server， 被 称 为 
BRAS 的 路 由 器 ) 之 间 使 用 L2TP 隧道 相连 (图 3-31) 。 而 用 
户 家 中 的 个 人 计算 机 或 路 由 器 与 互联 网 服务 供应 商 的 

RAS (Remote Access Server) 之 间 则 通过 L2TP 隧道 封装 ， 使 
用 PPPoE 协议 完成 连接 。 


BRAS 的 路 由 塔 是 适用 于 电信 运营 商 的 高 端 路 由 器 。 用 户 则 可 
以 使 用 ADSL 调制 解 调 器 与 路 由 器 (或 个 人 计算 机 〉 两 台 设 备 
组 网 ， 也 可 以 使 用 内 置 ADSL 调制 解 调 器 的 宽带 路 由 器 。 在 路 
由 需 或 个 人 计算 机 中 ， 需 要 设 定 互 联网 服务 供应 丙 在 签约 时 提 
供 的 、 用 于 连接 PPPoE 的 用 户 名 和 密码 ， 并 以 此 作为 RAS 的 
认证 信息 。 用 户 名 大 多 是 类 似 user@example.co.jp 这 种 ， 在 用 
户 名 与 ISP 域名 之 间 使 用 @ 符号 分 割 ， 类 似 电 子 邮 件 的 格式 
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O 〇 


44 在 我 国 ， 中 国电 信 ADSL 宽带 接 入 业务 提供 的 用 户 名 不 是 这 个 格式 ， 而 是 类 似 
ADxxxxx 的 形式 。 译 者 注 











中 通过 PPP over Ethernet 连 接 





2) 与 RAS 通 信 







ADSL 楼 宇 |/ 网 络 终端 设备 ; 


ADSL 调 制 


AR 


3) 到 指定 互联 网 服务 
供应 商 的 路 由 选择 





应 商 完成 连接 


图 3-31 ADSL 拓扑 图 
表 3-26 列 出 了 xDSEL 的 分 类 信息 。 


表 3-26 xDSL 的 种 类 





也 称 为 全 速 
ADSL， 使 用 
ADSL (Asymmetric 六 二 上 行 G.dmt) 的 DMT 
Digital Subscriber 与 电 |5.4km 左 右 512k~4Mbit/s | 调制 方式 
Line， 非 对 称 数 字 话 线 l 下 行 (Discrete 
用 户 线 路 ) 路 通 1.5~52Mbit/s |MultiTone， 离 
用 ) 散 多 音调 ) 。 
日 本 使 用 


G.992.1 Annex 


UADSL (Universal 
Asymmetric Digital 
Subscriber Line， 通 
用 非 对 称 数字 用 户 
线路 ) 





VDSL (Very High 
Bitrate Digital 
Subscriber Line， 超 
高 速 数 字 用 户 线 

路 ) 








HDSL (High-bit- 
rate Digital 
Subscriber Line， 高 
速率 数字 用 户 线 

路 ) 


SHDSL (Single-pair 
Highspeed Digital 
Subscriber Line， 单 
对 线 高 速 数字 用 户 
线路 ) 








SDSL (Symmetric 
Digital Subscriber 
Line， 对 称 数 字 用 























1 对 2 
线 





2.4~6.9km 


有 何 
512kbit/s， 下 
行 1.5Mbit/s 


上 行 
1.5~2Mbit/s， 
下 行 
13~52Mbit/s 


2Mbit/s (或 
4.6Mbit/s) 


2.3Mbit/s 


160k~2Mbit/s 


C 标 准 


也 称 为 简易 版 
ADSL 或 半 速 
ADSL， 组 网 无 
需 分 离 器 ， 使 
用 ITU-T 
G.992.2 标 准 
(也 称 
G.lite) 。 日 本 
使 用 的 标准 是 
G.992.2 Annex 
人 @ 


使 用 最 大 
30MHz 的 高 频 
信号 ， 最 大 传 
输 距 离 比 ADSL 
短 ， 一 般 在 公 
寅 等 住宅 处 与 
FTTH 线 缆 配 合 
使 用 























上 下 行 采用 相 
同 速率 的 对 称 
型 DSL。 推 荐 
使 用 ITU-T 

G.991 标 准 。 























和 HDSL 一 样 
上 下 行 对 称 的 
DSL。 使 用 1 对 
线 缆 而 不 是 两 
对 。 推 荐 使 用 
G.991.2 〈 也 称 
为 G.shdsl) 标 
准 


























上 下 行 对 称 的 
DSL (速率 相 
同 ) 。 推 荐 使 
用 G.992.1 





户 线路 ) Annex H 标准 


另外 还 有 称 为 LRE (Long Reach Ethernet， 长 距离 以 太 网 ) 的 
思科 公司 独 有 协议 ， 同 VDSL 类 似 ， 使 用 UTP 线 绕 ， 支 持 半 
径 为 1.5km、 速 率 为 5~15Mbit/s 的 通信 。 


03.06.05 ”拨号 接 入 


1993 年 日 本 在 开始 提供 商用 互联 网 接 入 服务 时 ， 是 采用 模拟 
调制 解 调 喜 通 过 电话 线路 拨号 接 入 互联 网 。 当 时 的 模拟 调制 解 
调 器 ， 通 信 速 率 在 300bit/s~14.4kbit/s 左右 。 个 人 计算 机 连接 
模拟 调制 解 调 器 ， 在 操作 系统 的 互联 网 连接 选项 中 输入 接 入 点 
ISP 的 电话 号 码 、 用 户 名 、 和 密码 等 信息 ， 即 可 完成 接 入 他 。 接 
入 点 配 有 支持 RAS (Remote Access Server) 功能 的 路 由 器 或 
服务 器 作为 拨号 连接 的 服务 终端 。 


42 20 世纪 90 年 代 末期 至 2000 年 初期 ， 拨 号 上 网 在 中 国 很 流行 。 一 一 译 者 注 














使 用 数字 业务 线路 ISDN (Integrated Services Digital Network， 
综合 业务 数字 网 ) 时 ， 可 以 使 用 终端 适配器 来 取代 模拟 调制 解 
调 圳 连接 个 人 计算 机 。 


1995 年 ， 日 本 的 NTT 东 日 本 和 NTT 西日本 两 大 运营 商 开 始 提 
供 深夜 电话 费 固定 的 收费 方式 ， 而 且 市 场 上 开始 销售 廉价 的 终 
端 适 配器 ， 以 这 两 件 事 为 契机 拨号 接 入 互联 网 的 方式 迅速 普及 
天 及 。 


拨号 接 入 互联 网 时 ， 数 据 链 路 层 使 用 PPP 点 对 点 协议 连接 个 人 
计算 机 和 ISP 的 RAS。 当 RAS 作为 路 由 器 使 用 时 ， 大 多 数 需 
要 将 RADIUS 服务 器 作为 认证 服务 器 协同 使 用 (图 3-32) 。 
RADIUS (Remote Authentication Dial In User Service ) 即 远 程 
认证 拨号 用 户 服务 ， 定 义 于 RFC2865/2866 中 。 在 RAS 和 
RADIUS 服务 器 之 间 采 用 RADIUS 协议 完成 认证 和 计 费 管理 。 








om 
RADIUS 


RAS 





RADIUS 





图 3-32 ”拨号 接 入 流程 


随 着 手机 的 普及 ， 手 机 和 PHS4 专用 的 调制 解 调 器 出 现 了 ， 它 
使 用 户 可 以 像 固定 电话 网 络 那样 使 用 移动 网 络 拨 写 接 入 互联 
网 。 即 使 当前 FTTH 己 成 为 主流 接 入 线路 ， 但 在 移动 环境 下 还 
是 有 大 量 的 用 户 通 过 拨号 接 入 互联 网 。 


名 与 中 国电 信 的 小 灵通 制式 一 致 。 一 一 译 者 注 























为 外 ， 还 有 不 少 在 路 由 器 中 进行 使 用 ISDN 或 固定 电话 线路 的 
拨 写 连接 设置 ， 以 此 作为 常用 接 入 线路 备用 方 采 的 情况 。 此 
时 ， 即 使 主线 路 接口 断路 ， 路 由 器 也 会 目 动 拨号 接 入 互联 网 。 


03.06.06 “元 余 
路 由 器 元 余 


互联 网 最 初 是 基于 军事 目的 开发 的 ， 即 使 一 部 分 路 由 需 发 生 故 
隐 ， 也 能 够 通过 链 路 的 转换 来 继续 通信 过 程 ， 即 具有 不 间断 通 
信 的 机 制 。 但 是 企业 网 络 与 互联 网 之 间 的 网 关 所 在 一 一 路 由 器 
或 适用 于 电信 运营 商 的 核心 路 由 露 等 一 旦 发 生 故 障 ， 也 往往 会 
造成 很 大 的 麻烦 。 故 障 无 法 完全 杜绝 ， 而 且 在 定期 维护 时 同样 
需要 将 路 由 需 与 网 络 断 开 ， 为 了 在 这 些 情况 下 依旧 能 够 各 用 户 
提供 持续 不 断 的 业务 ， 束 需要 将 路 由 费 风 余 。 


a 准备 份 和 热 备 份 


冷 备 份 〈cool standby) 是 指 配备 平时 不 运行 的 备用 设备 ， 
当 运 行 设备 发 生 故 障 时 ， 使 用 备用 设备 蔡 换 。 备 用 设备 一 
般 不 放 入 电源 也 不 接 入 网 络 ， 存 放 在 用 户 处 或 销售 公司 、 
制造 公司 的 仓库 中 。 由 于 在 发 生 故 障 时 ， 只 需 将 故障 设备 
进行 物理 蔡 换 即 可 ， 因 此 该 类 产品 设计 与 使 用 非常 简单 ， 


























但 需要 花费 一 定 的 时 间 进 行 设备 的 葵 换 与 局 动 ， 在 这 期 间 
将 会 中 断 用 户 的 业务 。 夯 外 ， 目 动 同步 设置 和 连续 会 话 也 
无 法 进行 


热 备 份 (hot standby) 是 指 下 设备 运行 的 同时 运行 备用 设 
备 ， 能 够 自动 蔡 换 备用 设备 。 如 
速度 够 快 ， 一 切换 过 程 可 以 在 发 生 故 障 的 几 秒 后 完 





丛 换 与 回 退 


在 见 余 结构 中 ， 停 止 运 行 设备 ， 使 用 备用 设备 进行 工作 的 

过 程 称 为 蔡 换 ， 英 语 中 称 为 fail-over 或 switch-over。 

switch- -Over 有 手工 切换 的 意思 ， 但 是 作为 路 由 器 功能 之 
， 使 用 元 余 协 议 进行 替换 的 过 才 程 也 可 称 为 switch-over。 


蔡 换 后 再 次 恢复 到 原来 的 运行 设备 ， 也 就 是 从 处 于 运行 状 
态 的 备用 设备 再 切换 到 原来 的 运行 设备 的 过 程 称 为 回 退 ， 
英语 中 称 为 fail-back 或 Switch-back。 


由 两 台 路 由 器 组 成 的 热 备份 机 制 中 ， 使 其 中 1 台 路 由 右 处 
于 优先 运行 状态 的 操作 叫做 先 占 〈preempt) 操作 。 如 果 

执行 了 先 占 操 作 ， 当 恢复 由 于 故障 导致 当 机 的 路 由 器 时 ， 

即使 当时 处 于 运行 状态 的 备用 设备 并 没有 发 生 任何 问题 ， 

也 会 强制 切换 到 原来 的 运行 设备 。 


路 由 器 元 余 的 种 类 
路 由 器 见 余 的 种 类 如 表 3-27 所 示 。 
表 3-27 路 由 右 见 余 的 类 型 






































,| 让 高 问 路 由 占 器 中 ， 一 自 会 | 


务 切换 到 各 路 由 引 苑 上， 该 过 程 可 以 窑 不 丢失 分 
组 的 前 提 下 继续 提供 路 由 服务 


几 | 根据 链 路 汇 





























余 | 聚 情况 使 物 | 将 多 个 物理 网 络 接口 汇聚 成 逻辑 接口 ， 当 组 成 罗 
结 “| 理 接口 元 余 | 辑 接口 的 茶 个 物理 接口 发 生 故 障 时 ， 其 他 物理 接 
构 | 化 口 可 以 继续 收发 通信 数据 


















































准备 两 台 路 由 器 ， 其 中 一 台 作 为 正常 运行 业务 的 
活跃 设备 〈active) ， 也 可 以 称 为 主 设备 
主 备 方式 (master) 或 首要 设备 (primary) 。 男 一 台 作 为 
(Active- ”| 发 生 故 障 时 蔡 换 的 备用 设备 (standby) ， 也 可 以 
Standby) “| 称 为 备 机 (backup) 、 从 设备 (slave) 或 次 要 设 
备 (secondary) 。 活 跃 设备 和 备用 设备 必须 共享 
关于 设备 的 设置 信息 
































准备 两 台 路 由 器 ， 其 中 一 台 作 为 首要 设备 














gy (primary) ， 男 一 台 作 为 次 要 设备 
es (secondary) ， 二 者 同时 运行 来 组 成 元 余 结构 。 
ee 这 种 方式 可 以 通过 与 负载 均衡 设备 并 用 或 者 设置 
0 客户 端 一 侧 的 路 由 信息 来 达到 负载 均衡 的 
目 尽 


集群 方式 “| 在 主 备 方式 或 双 活 方式 中 ， 使 用 3 台 以 上 的 硬件 
CCluster) | 协同 组 成 元 余 结构 的 方式 


在 实行 主 备 方式 (Active-Standby) 时 ， 会 使 用 类 似 VRRP 
的 元 余 协 议 。 尽 管 也 存在 像 思 科 公 司 的 HSRP 这 样 的 厂商 
独 有 宛 余 协议 ， 但 如 果 想 在 不 同 广 商 生产 的 路 由 器 之 间 构 
成 见 余 结构 ， 还 是 需要 参考 RFC 标准 的 VRRP 元 余 协 
议 。 


主 备 方式 是 将 两 台 物 理 路 由 器 组 成 工 全 虚拟 的 路 由 右 ， 这 
时 虚拟 路 由 器 的 IP 地 址 以 及 MAC 地 址 由 两 台 物 理 路 由 器 


分 担 。 






































双 活 (Active-Active) 方式 还 有 如 下 特点 。 
。 使 用 负载 均衡 (load balancer) 技术 
。 适用 于 两 组 主 备 结构 
。 运用 等 成 本 多 路 径路 由 或 DNS 轮 询 等 技术 
由 1 台 活 跃 设备 和 1 台 备 用 设备 组 成 的 见 余 结构 称 为 1+1 


见 余 结 构 ， 是 最 第 用 的 热 备 份 方式 ， 通 第 用 于 企业 网 络 的 
数据 中 心 以 及 互联 网 网 关中 。 


而 在 集群 中 则 是 由 N 台 活 跃 设备 和 1 人 台 备 用 设备 组 成 
N+1 元 余 结 构 。 在 电信 运营 丙 等 需要 处 理 大 流量 通信 的 情 
况 下 ， 路 由 器 大 多 采用 N+1 集群 的 见 余 形式 。 例 如 ， 如 
果 使 用 1 台 路 由 器 能 够 处 理 3 分 之 1 总 业务 ， 那 么 就 需要 
采用 N=3、 即 共 4 台 设 备 组 成 集群 。 


除 此 以 外 ， 由 人 台 活 跃 设备 和 N 人 台 备 用 设备 组 成 的 元 余 
结构 称 为 2N 元 余 结构 。 


VRRP 





VRRP (Virtual Router Redundancy Protocol， 虚 拟 路 由 元 余 协 
议 ) 是 RFC5798 中 定义 的 协议 ， 用 于 路 由 器 的 元 余 与 复 用 。 
通过 该 协议 ， 可 以 将 多 台 路 由 器 组 成 1 个 群 组 ， 其 中 工 台 为 活 
跃 设 备 ， 其 余 为 备用 设备 。 与 此 同时 ，1 台 路 由 器 既 可 以 属于 
也 可 以 通过 设置 成 为 双 活 方式 ， 组 成 N+1 的 元 余 


位 于 同一 群 组 的 路 由 器 之 间 使 用 224.0.0.18 的 组 播 地 址 进行 通 
信 ， 交 互 协 议 号 为 112 的 VRRP 控制 分 组 。 


每 个 群 组 都 可 以 视 作 1 台 虚 拟 路 由 器 《virtual router) ， 与 各 
个 物理 路 由 器 的 MAC 地 址 不 同 ， 虚 拟 路 由 器 中 的 虚拟 MAC 
地 址 是 按照 群 组 分 配 的 ， 并 由 主 设备 (master) 来 使 用 。 虚 拟 
MAC 地 址 值 的 形式 一 般 为 00-00-5E-00-01-XX， 其 中 XX 部 分 
由 群 组 固有 的 VRID (Virtual Router Identifier， 虚 拟 路 由 器 标 
示 符 ) 来 分 配 。 


虚拟 路 由 器 接 口 使 用 的 IP 地址 也 称 为 虚拟 IP 地址 ， 该 IP 地址 
是 否 被 物理 路 由 器 实际 使 用 这 一 点 并 不 重要 ， 但 必须 保证 与 路 
由 器 物理 接口 地 址 处 于 同一 子 网 中 。 


同一 个 群 组 内 的 物理 路 由 器 会 被 分 配 1~255 范围 的 优先 级 
eh 数值 ， 优 先 级 值 最 高 的 物理 路 由 器 会 被 选择 为 主 设 


在 默认 状态 时 ， 主 设备 每 阳 1 秒 回 群 组 内 的 成 员 发 送 VRRP 通 
知 消息 ， 如 果 在 3 秒 内 群 组 没有 收 到 来 自主 设备 的 消息 则 判断 


主 设备 已 经 发 生 故 障 。 


一 旦 主 设备 发 生 了 故障 ， 优 先 级 最 高 的 备用 机 将 升级 为 主 设 
备 。 同 时 还 会 给 及 生 故障 的 原 主 设备 分 配 到 一 个 较 低 的 优先 
级 ， 以 便 在 快速 切换 状态 时 避免 切换 融 来 的 抖动 。 


HSRP 


HSRP (Hot Standby Router Protocol， 热 备份 路 由 协议 ) 协议 是 
VRRP 协议 的 前 身 ， 由 思科 公司 完成 标准 化 工作 之 后 成 为 该 公 
司 的 独 有 协议 ， 分 为 版 本 1 (HSRPv1) 和 版 本 

2 (HSRPv2) ， 只 能 在 运行 可 思科 公司 IOS 系统 的 设备 上 使 
用 ， 无 法 与 其 他 协议 奉 换 。 另 一 方面 ，VRRP 则 是 由 RFC 完 
Cs 各 个 厂商 的 路 由 器 只 需 文 持 该 协议 此 可 互联 和 互 
J 。 


两 个 协议 的 对 比如 表 3-28 所 示 。 


表 3-28 比较 VRRP 和 HSRP 


名 称 VRRP HSRPVv1 


RFC 标 准 (在 RFC5798/3768/2338 





思科 公司 独 有 标准 在 
文档 中 以 标准 的 形式 记载 ) RFC2281 文 档 以 信息 介绍 的 形 | 思科 
式 记载 ) 


Standby Standby 


0~255 (HSRP ID) 0~4095 
| 





















于 | 兹 矶 
导 | 汝 于 


文 
默认 生效 默认 无 效 


IE 224.0.0.18 224.0.0.2 





YE 二 < 
区 于 
尘 诈 


















协议 号 112 UDP 1985 端 口 





00:00:0c:07:ac:XX (XX=HSRP |00:00:04 
ID) 














CE 先 级 数 |1~255。 默 认 值 为 100。 优 先 级 数值 高 的 
相同 时 ， 卫 地 址 值 大 的 成 为 活跃 设备 











使 用 多 播 地 址 224.0.0.18 发 送 


通告 i 。 
存活 维 i ee 3 发 | 使 用 多 播 地 址 224.0.0.2 发 送 Hello 消 息 。 


持 ye ve pe | 值 ) 发 送 一 次 ， 如 果 接 收 方 在 Holdtimel 
送 消 息 ， 如 果 接 收 方 在 人 Rs 
(Keep Master_ Dow Tnterval 间 也 《号 入 有 收 到 该 消息 ， 则 视 为 主 设备 当 机 


Alive》 | 为 和 秒 ) 内 没有 收 到 该 消息 ， 则 
视 为 主 设备 当 机 


IPvé “|VRRP 版 本 3 (REFC5798) 中 支持 | 不 支持 


GARP 


在 使 用 主 备 方式 的 见 余 结构 中 ， 网 络 接 口 会 分 配 到 一 个 虚拟 IP 
地 址 。 这 个 IP 地 址 在 进行 路 由 选择 时 会 被 提供 给 路 由 右 使 

用 ， 也 就 是 说 主 设 备 A 和 备用 设备 B 会 各 有 同一 虚拟 IP 地 
址 。 虽 然 两 台 设 备 共 用 一 个 IP 地 址 ， 但 设备 A 和 设备 B 的 
MAC 地 址 却 是 不 同 的 。 当 A 发 生 政 障 时 ， 设备 也 会 妨 换 到 主 
5 吏 需 要 路 由 器 同 所 0 条 贡 民 
En ARP， 无 故 0 Rn 
原本 发 送 至 设备 A 的 数据 帧 及 时 更 正 为 向 设备 B 发 送 〈 网 3- 
33) 。 


另外 ， 当 设备 处 于 先 占 状 态 时 或 者 向 网 络 接口 插入 电缆 时 ， 也 
会 触发 GARP， 并 通知 交换 机 对 MAC 地 址 表 进 行 更 新 。 


要 补充 的 是 ，GARP 还 可 以 用 于 检测 在 DHCP 的 过 程 中 卫 
i + 有 重复 分 配 的 问题 。 





























































物理 MAC 地 址 : 11:22:33:aa:bb:cc 
物理 IP 地 址 : 10.1.1.1 物理 MAC 地 址 : 11:22:33:dd:ee:ff 
虚拟 |P 地 址 : 10.1.1.254 物理 IP 地 址 : 10.1.1.2 







此 时 ，PC 的 ARP 表 为 [10.1.1.254= 
11:22:33:aa:bb:cc]， 当 ping 地 址 为 
10.1.1.254 时 ， 返 回 设 备 A 的 地 址 






物理 MAC 地 址 : 11:22:33:dd:ee:ff 


物理 MAC 地 址 ; 11:22:33:aa:bb'cc 物理 IF 地 址 : 10.1.1.2 
物理 IP 地 址 : 10.1.1.1 虚拟 IP 地 址 : 10.1.1.254 












i | 名 设备 B 发 送 GARP 消 
息 ， 告 知 10.1.1.254 
的 MAC 地 址 变更 为 
11:22:33:dd:ee:ff 












中 活跃 设备 (A) 当 机 
时 ， 立 刻 切 换 到 备用 
设备 (B) 






@ PC 收 到 GARP 消 息 后 ， 
更 新 ARP 地 址 表 为 
[10.1.1.254=11:22:33: 
dd:ee:ff] 








图 3-33 不 使 用 虚拟 MAC 时 ， 通 过 GARP 更 新 交换 机 中 的 
ARP 表 


物理 MAC 地 址 : 11:22:33:aa:bb:cc 
物理 iP 地址 : 10.1.1.1 


虚拟 IP 地 址 : 10.1.1.254 物理 MAC 地 址 : 11:22:33:dd:ee:ff 


虚拟 MAC 地 址 : 00:11:22:33:44:55 物理 IP 地 址 : 10.1.1.2 


此 时 交换 机 的 MAC 地 址 表 为 
[00:11:22:33:44:55=Port1] 






物理 MAC 地 址 : 11:22:33:dd:ee:ff 
物理 IP 地 址 : 10.1.1.2 


物理 MAC 地 址 : 11:22:33:aa:bb:cc | | 虚拟 IP 地 址 : 10.1.1.254 
物理 IP 地 址 : 10.1.1.1 虚拟 MAC 地 址 : 00:11:22:33:44:55 


2 用 设备 会 发 送 一 条 
GARP 消息 告知 交 
换 机 10.1.1.254 的 
MAC 地 址 变更 为 
00:11:22:33:44:55 


j) 活 跃 设 备 ( 人 A) 
当 机 后 ， 虚 拟 IP 
地 址 由 备用 设备 
( B ) 继承 






3) 交换 机 接收 到 GARP 消息 后 ， 
将 MAC 地 址 表 信 息 更 新 为 
[00:11:22:33:44:55=Port2] 


图 3-34 在 VRRP 中 发 送 虚 拟 MAC 地 址 已 向 备用 设备 转移 
的 消息 并 告知 交换 机 更 新 MAC 地 址 表 的 GARP 


03.06.07 认证 


认证 是 指 用 户 在 接 入 网 络 时 ， 网 络 要 求 用 户 出 示 设 备 的 认证 信 
恩 〈 用 户 名 以 及 密码 ) 、 验 证 用 户 输入 的 认证 信息 是 售 正 确 、 
确认 正确 后 允许 用 户 接 入 网 络 这 一 系列 过 程 。 认 证 信息 不 正确 
时 ， 网 络 将 拒绝 用 户 的 接 入 请 求 。 认 证 功能 有 很 多 种 ， 例 如 管 
理 员 号 份 认证 、 拨 号 上 网 接 入 认证 以 及 VPN 等 用 户 认 证 。 


RADIUS 


RADIUS 是 远程 认证 拨号 用 户 服务 (Remote Authentication 
Dial In User Service 的 简称 。 


路 由 器 可 以 和 外 部 RADIUS 服务 器 协同 完成 路 由 器 管理 员 身 
份 认证 或 客户 端 用 户 的 账户 认证 。 


例如 ， 通 过 路 由 器 拨号 上 网 或 进行 PPP 连接 时 ， 如 果 在 客户 端 
登陆 界面 输入 用 户 名 和 密码 ， 连 接 时 这 些 信息 就 会 与 路 由 器 进 
行 交 互 。 这 时 路 由 器 会 将 从 客户 端 接收 到 的 信息 中 继 到 
RADIUS 服务 器 ，RADIUS 服务 器 认证 成 功 后 才 允 许 用 户 接 
六 


RADIUS 使 用 1645 和 1812UDP 端口 将 用 户 的 密码 散 列 后 发 
送 。 由 于 该 协议 由 RFC 标准 化 ， 因 此 各 个 设备 厂商 的 产品 均 
提供 了 对 该 协议 的 支持 。 


TACACS+ 





TACACS+ 是 终端 访问 控制 器 控制 系统 〈Terminal Access 
Controller Access-Control System ) 的 简称 ， 由 RFC1492 文档 定 
义 4。 该 系统 在 20 世纪 80 年 代 作 为 UNIX 远程 接 入 认证 协 
议 使 用 ， 随 后 由 思科 公司 在 1990 年 扩展 开发 为 

XTACACS (扩展 TACACS) ， 并 逐步 发 展 成 了 TACACS+。 























44 历史 上 是 在 思科 公司 的 帮助 下 ， 由 美国 明尼苏达 大 学 在 该 RFC 文档 中 描述 了 思 
科 对 TACACS 的 扩展 ， 并 没有 对 之 进行 标准 化 定义 。 一 一 译 者 注 


























0 和 TACACS 的 名 称 几 平 完全 相同 ， 功 能 却 有 很 大 的 
凑 别 |。 


与 RADIUS 只 对 应 IP 协议 不 同 ， 除 了 IP 协议 以 外 TACACS+ 
还 能 够 支持 多 种 L3 协议 ， 如 AppleTalk、NetBIOS、 
Novell (NASI) 、X.25 等 。 


另外 ， 该 协议 使 用 TCP 49 号 端口 ， 能 够 对 分 组 的 有 效 载荷 进 
行 加 密 ， 因 此 具有 高 安全 性 的 特点 。 但 只 有 思科 的 路 由 器 和 一 
部 分 UNIX 系统 使 用 该 协议 ，RFC 也 没有 对 其 进行 标准 化 。 


03.06.08 QoS 








QoS (Quality of Service， 服 务 质量 ) 是 保障 通信 质量 的 功能 ， 


主要 分 为 带宽 控制 和 优先 级 控制 两 类 。 不 过 也 有 根据 通信 量 的 
优先 级 来 控制 带宽 的 情况 。 使 用 优先 级 对 通信 量 进行 分 类 的 过 
程 称 为 类 别 〈classification ) ， 根 据 通信 量 的 每 一 个 类 别 进行 
带宽 控制 或 优先 级 控制 的 过 程 则 称 为 CoS (Class of Service， 
服务 类 别 ) 。 

优先 级 与 标记 

RFC791 定义 的 IP 首部 中 有 一 个 称 为 ToS (Type of Service， 
服务 类 型 ) 的 数据 域 ， 该 数据 域 在 控制 卫 分 组 优先 级 时 使 

用 。IP Precedence、DSCP 以 及 ToS 域 中 的 参数 会 随 着 不 同年 
份 的 不 同 标准 而 变化 (图 3-35) 。 


0 1 2 3 4 5 6 7 比特 顺序 


RFC 791 (1981 和 ) mn 
rctal (aoof1 [Eee [ [0 [9 


RFC 2474 ( 1998 年 ) DSCP 


RFC 3168 ( 2001 年 ) ECN 
图 3-35 JIPv4 首部 ToS 数据 域 的 变化 
对 于 拥有 相同 IP Precedence 以 及 DSCP 值 的 分 组 将 采用 同一 优 
先 级 进行 转发 控制 〈 表 3-29) 。 比 如 ， 将 拥有 某 个 优先 级 数值 
的 分 组 全 部 放 到 PQ45 优先 队列 中 。 


入 即 Priority Queue， 优 先 级 队列 。 一 一 译 者 注 














根据 发 送 源 、 发 送 目的 、 病 口号 、 协 议 每 各 种 信息 ， 在 IP 首 
部 的 ToS 数据 域 中 填 入 或 变更 条 值 的 功能 称 为 优先 级 标记 
(Marking) 。 





表 3-29 ”IP Precedence 与 DSCP 的 种 类 


IP Precedence DSCP 











000xxx | 尽力 服务 (Best Effort) 


0 
01 om on | s 人 Forwarding ) 
大 


no feo lo cm 
control 





注 1: 二 进 制 数值 中 的 x 表示 可 以 填 入 0 或 1。 


























保持 缓存 与 队列 处 理 


分 组 从 路 由 器 网 络 接口 转发 时 ， 会 暂 存 于 内 存 中 的 数据 缓存 
(buffer) 中 。 每 个 网 络 接口 均 有 缓存 ， 在 缓存 中 存放 数据 的 
过 程 称 为 保持 缓存 (buffering) 。 当 通信 线路 上 遇 到 拥塞 或 冲 
突 时 ， 分 组 暂时 无 法 从 网 络 接口 转发 到 线路 上 ， 因 此 需要 暂时 
保存 在 缓存 中 ， 等 到 线路 允许 时 再 次 发 送 。 一 般 而 言 ， 分 组 在 
缓存 中 以 FIFO (first-in first-out， 先 入 先 出 〉 的 方式 处 理 。 
FIFO 方式 构成 的 数据 称 为 队列 (queue) 或 等 等 队 列 ， 而 分 组 
在 路 由 器 上 等 待 处 理 的 过 程 则 称 为 队列 处 理 〈queuing) 。 


在 日 第 生活 中 也 有 队列 处 理 的 例子 。 比 如 在 超市 结账 时 ， 超 市 

中 有 5 台 结 账 设备 ， 也 就 是 说 会 有 5 个 等 竺 队列。 等 竺 结账 的 

人 相当 于 路 由 器 中 的 分 组 ， 超 市 中 没有 人 所 以 没有 人 需要 结账 

的 状态 就 是 当前 没有 发 生 拥塞 。 反 之 ， 当 所 有 结账 设备 前 都 有 

也 就 是 说 结账 设备 前 形成 了 等 待 队列 时 ， 也 就 是 发 
用 赛 。 











转发 处 理 
| 


输入 | | | 输出 输入 输出 输入 上 | 输出 
缓存 | | 缓存 缓存 缓存 缓存 上 | | 缓存 
输入 | | 输出 输入 输出 输入 上 | 输出 
队列 上 | | 队列 队列 队列 队列 中 | 队列 
端口 
和 一 一 














一 一 一 


图 3-36 ”队列 处 理 的 流程 
附带 优先 级 的 队列 处 理 


路 由 器 转发 的 分 组 中 存在 着 各 种 各 样 的 数据 ， 比 如 时 延 很 小 的 
VoIP 和 流 媒 体 〈Streaming) 等 数据 ，FITP、 邮 件 、Web 网 页 
浏览 等 虽然 存在 时 延 但 不 会 造成 什么 问题 的 数据 等 等 。 若 对 这 
些 数据 均 采 用 同一 标准 进行 FIFO 队列 处 理 的 话 ， 将 会 出 现 路 
由 器 为 了 转发 大 量 FTP 数据 而 导致 IP 电话 无 法 使 用 的 问题 。 


为 了 解决 这 一 问题 ， 路 由 需 需 要 采用 附带 优先 级 的 队列 处 理 方 


式 。 

优先 级 是 根据 下 面 这 些 信息 定义 的 。 

。 发 送 源 或 发 送 目 的 地 的 IP 地 址 、 协 议 编号 、 目 标 端 品 
号 。 











sm IP 首部 的 ToS 数据 域 或 DSCP 数据 域 。 
表 3-30 总 结 了 附带 优先 级 队列 处 理 的 几 种 类 型 。 
表 3-30 ”附带 优先 级 队列 处 理 的 种 类 


根据 优先 级 高 低 决定 转发 顺序 ， 优 先 级 越 高 的 分 组 越 容 
易 被 转发。 思科 公司 的 路 由 器 中 ， 按 优先 级 从 高 到 低 依 
次 提供 了 high、medium、normal、low 四 个 优先 级 队 
列 。 接 收 到 的 分 组 根据 以 下 信息 分 类 。 
e TCP/UDP 端 口号 
PQ (Priority |。 分 组 输入 接口 
Queuing， 优 先 |* 分 组 大 小 
级 队列 ) e 是 否 已 被 分 片 本 
e 访问 控制 列表 中 记录 的 信息 
当 分 类 完成 后 ， 将 这 些 分 组 分 配 到 各 自 的 优先 级 队列 
中 。 路 由 器 会 保障 高 优先 级 队列 的 带宽 ， 只 要 高 优先 级 
队列 中 存在 未 被 发 送 的 分 组 ， 低 优先 级 队列 中 保存 的 分 
组 就 会 一 直 等 待 下 去 






































作 i 的 情况 较为 普遍 。 与 PQ 相 
同 ， 会 根据 访问 列表 等 信息 对 分 组 进行 分 类 ， 但 只 需 设 
置 每 个 队列 中 分 组 的 数目 或 字 节 数 。 随后 将 采用 轮 询 
(round-robin〉 的 方式 进行 分 组 转发 ， 例 如 设置 网 络 接 
口 对 应 的 队列 1 中 允许 有 50KB 的 4 分 组 ， 队 列 2 为 30KB， 
人 队列 3 为 10KB， 这 时 系统 就 会 等 到 队列 1 存 满 50KB 的 分 
| 组 后 再 进行 转发 ， 接 着 轮 到 队列 2 存储 到 30KB 的 分 组 后 
队列 ) 进行 转发 ， 最 后 轮 到 队列 3 满 10KB 后 转发 。 随 后 再 次 回 
到 队列 1 中 ， 等 待 下 一 批 50KB 的 分 组 存 满 后 ， 再 次 进入 
上 述 转发 顺序 。 
PQ 机 制 中 ， 有 则 中 的 分 组 永 
远 无 法 转发 的 情形 ， 这 会 导致 对 应 的 应 用 发 生 中 断 。 而 
et 在 思科 公司 的 路 由 器 中 ， 
个 网 络 接口 都 可 以 对 应 生成 16 个 转发 队列 




























































































PQ 和 CQ 属于 管理 员 设 置 的 静态 队列 处 理 机 制 ，WFQ 则 
能 够 通过 识别 流 (flow， 发 送 源 、 发 送 目的 地 的 也 地 址 
和 端口 号 一 致 的 通信 内 容 组 合 ， 相 当 于 一 个 TCP 连 
Queving， 公 平 队列 》 中 发 生 拥 肖 时， 网 络 接 呈 上 及 
| Queuing， 公 平 队列 ) 用 塞 乓 口 
庆 se ms | 的 队列 将 采用 同一 大 小 的 带宽 bits 数值 》 转 发 ， 因 此 
加 权 公平 队列 ) 尺寸 较 小 的 分 组 相对 于 尺寸 较 大 的 分 组 更 容易 被 转发 。 
而 在 WFQ 中 每 个 队列 4 以 流 为 单位 ? 都 会 以 其 中 IP 分 组 
首部 的 IP Precedence 值 为 基础 ， 分 配 一 个 权重 
(weight) 值 。IP Precedence 数 人 越 大 ， 权重 值 越 小 ， 
意味 着 可 以 使 用 更 多 的 带宽 资源 。 思 科 公 司 的 路 由 器 中 
能 够 使 用 4096 个 这 样 的 队列 







































































集合 了 CQ 和 WFQ 的 特 : 点 ， 规 定 了 每 个 队列 所 需 保障 的 
CBWFQ (Class- | 最 低 带 宽 。 与 WFQ 的 优先 级 《权重 ) 取决 于 IP 分 组 首部 
based Weighted | 的 IP Precedence 相 对 应 ，CBWFQ 中 只 需 根据 网 络 协议 
Fair Queuing, 和 IP 地 址 就 可 以 指定 优先 级 ， 并 依照 不 同 的 优先 级 控制 

















类 别 的 加 权 | 传输 速率 、 调 整 分 组 废弃 等 待 时 间 。 经 常 使 用 在 卫 电 话 
会 队列 这 类 对 传输 时 延 和 拌 动 比较 敏感 的 应 用 中 。 思 科 公 司 的 
路 由 器 中 可 以 提供 最 多 64 个 该 类 型 的 队列 























集合 了 PQ 与 CBWFQ 的 特点 。1 个 网 络 接 口 在 配备 
CBWFQ 的 同时 ， 还 准备 了 一 个 用 于 特定 应 用 通信 专用 





的 PQ 队列 。 最 优先 的 分 组 在 PQ 队列 中 获得 最 优先 的 处 
理 ， 其 余 的 通信 和 包 则 由 CBWFQ 保 障 一 定 的 带宽 
























































避免 拥塞 


路 由 器 每 个 网 络 接 口 的 通信 线路 速率 都 是 有 限 的 ， 当 出 现 了 超 
过 通信 速率 的 高 通信 量 分 组 时 ， 转 发 出 口 的 网 络 接口 将 会 出 现 
拥塞 现象 。 这 时 ， 转 发 出 口 的 缓存 和 转发 队列 中 会 堆 满 待 转发 
9 之 后 进入 绥 存 的 分 组 则 被 丢弃 (Tail-Drop， 尾 部 于 

。 当 发 生 尾 部 丢弃 后 ， 该 路 由 器 所 经 链 路 上 的 所 有 TCP 
直接 》 分 组 也 将 被 一 齐 丢 弃 ， 路 由 器 会 对 大 量 TCP 连接 同时 采 
取 进 入 重 发 控制 或 减少 窗口 尺寸 等 一 系列 流量 控制 措施 。 当 拥 
考 得 到 绥 解 后 ，TCP 连接 会 逐渐 增 大 窗口 尺寸 ， 从 而 再 度 导 致 
大 量 数据 的 到 来 而 引发 再 次 拥 喜 ， 整 个 网 络 会 进入 一 个 恶性 循 
环 〈 即 TCP 的 全 局 同步 现象 ，global TCP synchronization ) 的 
过 程 ， 使 网 络 利 用 率直 线 下 降 。 


这 种 情况 下 ， 使 用 RED (Random Early Detection， 随 机 早期 检 
测 ) 技术 可 以 避免 尾部 丢弃 所 带 来 的 一 系列 问题 。 


RED 会 始终 检测 队列 中 数据 量 的 平均 值 〈 平 均 队 列 长 度 ) ， 
当 该 值 超过 设置 的 最 小 国 值 时 ， 将 尽早 丢弃 选中 的 分 组 〈 图 3- 
37) 。 平 均 队 列 长 度 越 大 ， 分 组 的 丢弃 率 越 高 ， 当 超过 最 大 浆 
值 时 ， 同 样 将 执行 尾部 丢弃 。 


万 外 ， WRED CWeighted Random Early Detection， 加 权 随 机 早 
期 检测 ) 能 够 根据 卫 分 组 中 IP Precedence 的 值 决定 优先 级 ， 
并 根据 优先 级 的 不 同 动态 设置 RED 的 最 大 和 最 小 国 值 。 这 一 
机 制 降低 了 用 户 需 要 保留 的 分 组 因 拥 塞 被 丢弃 的 概率 。 











计算 平均 队列 长 度 






比 最 大 阅 值 高 







比 最 小 阐 值 低 


介 于 最 大 阅 值 和 
最 小 阅 值 之 间 


计算 分 组 被 
丢弃 的 概率 






向 队列 中 添加 分 组 


图 3-37 RED 处 理 流程 
策略 控制 


在 服务 供应 商 对 通信 质量 有 一 定 的 保障 需求 等 情况 下 ， 流 入 路 
由 右 的 通信 和 量 会 遵从 一 定 规 则 的 策略 〈policy) 受到 限制 ， 对 
一 受 限 过 程 即 称 为 策略 控制 (policing) 。 策 略 控制 能 够 指定 
路 由 器 的 输入 与 输出 在 哪个 网 络 接口 上 进行 ， 还 能 够 决定 对 于 
超过 网 络 接口 限制 值 的 分 组 是 丢弃 还 是 修改 卫 分 组 首部 的 
ToS 数据 域 。 使 用 了 Cisco IOS 的 路 由 器 就 提供 了 称 为 

CAR (Committed Access Rate， 了 有 承诺 访问 速率 ) 的 策略 控制 功 


已 
有 Co 


实现 并 执行 策略 控制 的 设备 或 功能 实体 也 称 为 策略 执行 者 


(policer) 。 











通信 和 量 整 形 
了 王 


当 需 要 从 数据 中 心 高 速 线路 网 络 问 分 文 机 构 中 的 低速 线路 网 络 








传输 数据 时 ， 数 据 中 心路 由 器 所 转发 的 通信 量 必须 重新 控制 在 
分 文 机 构 路 由 器 能 够 承受 的 范围 内 ， 只 有 这 样 才 能 保证 分 组 不 
会 因 拥 塞 而 被 丢弃 ， 这 一 控制 过 程 即 为 通信 量 整 形 

Cshaping) 。 通 行 量 整形 和 策略 控制 一 样 ， 根 据 一 定 的 规则 限 
制 通信 量 ， 但 是 通信 量 整形 并 不 丢弃 超出 限制 的 分 组 ， 而 是 将 
其 放 入 队列 。 


实现 并 执行 通信 重 整 形 的 设备 或 功能 实体 也 称 为 通信 量 整形 喜 
(shaper) 。 


信 令 控制 


RSVP (Resource Reservation Protocol， 资 源 预 留 协 议 ) 协议 是 
使 应 用 程序 (或 路 由 器 在 网 络 中 能 够 使 用 信 令 控制 
Csignaling) 指定 QoS 级 别 的 一 种 实现 方式 。RSVP 协议 是 可 
以 为 每 一 个 数据 流 指 定 独 立 的 QoS 需求 的 L3 信 令 协议 。 


03.06.09 ”虚拟 路 由 器 


一 般 而 言 ，1 台 路 由 器 内 部 只 能 生成 一 份 路 由 表 ， 但 带 有 虚拟 
路 由 器 功能 的 路 由 器 则 可 以 在 1 台 路 由 器 机 体内 模拟 出 多 台 虚 
拟 路 由 器 运行 。 虚 拟 路 由 器 经 常 在 服务 供应 商 提 供 VPN 等 业 
务 时 使 用 。 例 如 ， 现 在 需要 在 位 于 东京 和 大 阪 的 两 家 公司 之 间 
构建 一 个 使 用 私有 地 址 的 VPN 网 络 。 尺 管 在 东京 的 A 公司 和 
在 大 阪 的 B 公司 中 已 同时 存在 192.168.1.0/24 这 一 子 网 ， 可 以 
通过 设置 两 公司 的 路 由 器 进行 连接 。 但 是 如 果 东 京 和 大 阪 的 公 
司 都 只 有 1 台 路 由 器 来 汇聚 的 话 ， 设 备 是 无 法 进行 正确 路 由 选 
择 的 。 当 服务 供应 丙 想 要 将 这 种 情况 下 的 多 个 企业 正确 连接 
时 ， 束 可 以 使 用 虚拟 路 由 器 功能 将 A 公司 的 路 由 信息 和 B 公 
司 的 路 由 信息 进行 分 制 。 由 此 ， 不 仅 可 以 减少 实际 需要 管理 的 
物理 路 由 器 的 数量 ， 还 可 以 有 效 降低 引入 和 使 用 的 成 本 。 


具体 内 容 可 以 参考 05.08 市 的 内 容 。 




















03.07 用 于 管理 路 由 器 的 各 种 功能 
路 由 器 设备 会 提供 各 种 便于 自身 管理 的 功能 。 





03.07.01 ”用户 界 面 


路 由 器 均 会 提供 便于 管理 人 员 管 理 路 由 器 的 UI (User 
Interface， 用 户 界 面 ) 。 管 理 人 员 可 以 通过 UI 设置 路 由 器 、 获 
取 当 前 路 由 器 信息 以 及 查看 人 硬件 的 状态 和 通信 和 量 的 统计 信息 
和 

二 于 o。 


路 由 器 的 UI 可 以 分 为 WebUI (Web User Interface， 也 称 为 
WUI) 和 CLI (Command Line user Interface) 两 类 。 


WebUI 通过 个 人 计算 机 的 Web 浏览 器 进行 访问 ， 因 其 能 够 提 
供 可 视 化 的 设置 与 管理 ， 所 以 也 可 以 称 为 GUI (Graphical User 
Interface) 。 路 由 器 软件 内 置 了 web 服务器， 管理 人 员 通 过 个 
人 计算 机 的 HTTP 或 HTTPS 协议 就 可 以 访问 。 


CLI 也 称 为 CUI (Character User Interface) ， 管 理 人 员 通 过 使 
用 终端 软件 访问 路 由 器 。 终 端 软件 可 以 是 Windows 系统 自 带 
的 超级 终端 软件 ， 也 可 以 是 免费 软件 TeraTerm 等 等 。 通 过 
CLI 访问 需要 在 路 由 器 上 配备 控制 端口 (RJ-45 或 DB-9， 早 期 
路 由 器 可 能 配备 的 是 DB-25) 。 控 制 端 口 与 个 人 计算 机 之 间 的 
连接 可 以 分 为 两 类 ， 一 类 是 直接 采用 线 缆 将 路 由 器 与 管理 员 的 
个 人 计算 机 相连 ， 另 一 类 是 通过 网 络 使 用 Telnet (CTCP 23 号 端 
口 ) 或 SSH (TCP 22 号 端口 ) 协议 进行 虚拟 终端 (VTY) 连 
接 ( 表 3-31) 。 








表 3-31 路 由 器 用 户 界面 的 连接 方式 与 种 类 


连接 的 种 类 连接 的 方式 加 密 





控制 口 连 接 CLI 不 加 密 





Telnet 连 接 CLI (VTY) 不 加 密 


SSH 连 接 CLI (VTY) 


HTTP 连 接 WebUI 
HTTPS 连 接 WebUI 


87654321 


RJ-45 模 块 化 接 RJ-45 8P8C 插 口 ( 接头 ) 




















图 3-38 ”RJ-45 端口 





图 3-39 RJ-45/DB-9 转换 线 绕 ( 用 于 将 路 由 器 上 的 RJ-45 控 
制 端 口 连接 到 PC ) 


另外 ， 路 由 器 还 提供 了 能 够 对 访问 UI 的 个 人 计算 机 进行 限制 
的 功能 。 该 功能 通过 设置 管理 人 员 提 供 的 访问 控制 列表 ， 使 路 
由 絮 只 接受 指定 IP 地 址 作为 发 送 源 的 客户 端 进行 连接 。 连 接 
成 功 后 ， 还 需要 提供 管理 员 的 用 户 名 和 密码 才能 登录 。 这 些 认 
证 信息 既 可 以 保存 在 路 由 器 内 部 ， 也 可 以 通过 RADIUS 和 
LDAP 协议 从 外 部 数据 库 获 得 。 另 外 ， 路 由 器 可 能 还 会 提供 能 
够 指定 每 个 管理 员 账 户 相 关 权 限 的 功能 ， 其 中 包括 root 权限 、 
读 取 专用 权限 、 只 能 设置 条 些 功能 等 多 项 权限 。 


能 够 访问 路 由 需 的 UI 意味 着 可 以 确认 或 更 改 路 由 器 的 相关 设 
置 ， 因 此 从 安全 的 角度 来 讲 ， 蔡 止 非 管 理 人 员 的 访问 这 一 后 尤 
其 重要 。 


另外 ， 如 果 需 要 通过 互联 网 等 其 他 异种 网 络 访问 路 由 器 时 ， 为 
了 防止 设置 信息 等 被 窃听 ， 建 议 使 用 WebUI 中 的 HTTPS 或 
CLI 中 的 SSH 等 支持 加 密 的 协议 进行 访问 。 


初始 设置 


这 有 控制 端口 的 路 由 器 ， 一 般 都 是 通过 控制 端口 来 完成 初始 设 
置 的 。 对 于 宽 珊 路 由 器 这 类 小 型 路 由 需 而 言 ， 在 出 广 时 已 经 对 
其 网 络 搂 口 守成 了 特定 地 址 的 分 配 工 作 。 当 用 户 接 入 网 络 后 ， 
只 需 连接 事先 设 定 的 地 址 ， 即 可 完成 对 UI 的 访问 。 


党 理 员 用 户 名 和 密码 等 也 在 出 上 时 做 了 默认 设置 ， 在 初始 设置 
时 只 需 遂 过 该 默认 信息 即 可 完成 登录 。 





03.07.02 日 志 

如 果 在 路 由 器 上 更 改 设置 或 友 生 异常 ， 路 由 器 内 部 的 日 志 就 会 
将 这 些 事 件 记录 下 来 。 日志 一 次 记录 一 行 并 根据 事件 的 重要 程 
度 分 类 ， 而 且 也 可 以 只 记录 下 最 重要 的 事件 。 


一 般 的 路 由 右 中 并 没有 太 多 保存 日 志 的 空间 ， 通 常 都 是 将 日 志 
传送 到 Syslog 服务 器 上 保存 。 


03.07.03 ”确认 CPU 使 用 率 


通过 WebUI、CLI 命令 行 或 SNMP 等 能 够 获取 CPU 的 使 用 信 
上 县。 其 中 CPU 的 使 用 率 一 般 表 示 为 0~100%。 


有 些 路 由 需 的 硬件 设备 可 以 通过 设置 使 CPU 使 用 率 在 超过 浆 
值 时 通过 SNMP trap 发 送 消 息 或 输出 事件 日 志 。 


CPU 使 用 率 上 升 的 主要 原 
下 面 列 出 了 几 个 路 由 器 CPU 使 用 率 上 升 的 主要 原因 。 























a 用 户 通信 量 处 理 增多 。 
a 出 现 突 发 通信 量 。 


a 用 量 (sizing， 即 关于 路 由 器 能 够 处 理 的 市 宽 和 用 户 数 量 
等 规模 的 预 估 设计 ) 不 合适 ， 网 络 设备 处 理应 接 不 电 。 


当 CPU 的 使 用 率 很 高 时 ， 会 引起 以 下 问题 。 
a 性 能 下 降 ， 使 通过 该 设备 的 用 户 数 据 啊 应 迟缓 。 
a 设备 上 运行 的 业务 无 法 正常 啊 应 ， 进 而 会 导致 以 下 问题 。 


。 Telnet/SSH 啊 应 迟缓 ， 或 设备 无 法 进行 Telnet/SSH 连 
接 : 


。 控制 端口 响应 迟钝 。 
。 设备 上 的 网 络 接口 对 ping 命令 的 应 答 迟 缓 甚至 无 应 
答 。 


。 无 法 进行 更 新 路 由 等 管理 类 的 通信 交互 。 
a 缓存 发 生 故 障 的 概率 高 
03.07.04 告警 


路 由 器 为 了 预防 各 类 故障 ， 还 配备 了 以 下 告警 alarm) 功 
能 。 





温度 告警 
配备 了 温度 传感器 的 路 由 器 ， 当 路 由 器 内 部 温度 超过 闭 值 时 ， 
会 通过 Syslog 或 SNMP Trap 对 外 告知 该 异常 信息 。 浆 值 分 为 


两 个 层级 ， 当 温度 超过 第 一 层级 闵 值 时 ， 设 备 会 发 出 警告 
(warning) 消息 ， 当 超过 第 二 层级 阔 值 时 ， 则 会 发 出 紧急 
Ccritical) 消息 。 路 由 器 内 部 的 热量 一 般 源 自 CPU， 当 风扇 发 
生 故 障 无 法 散热 ， 或 外 部 (机 架 内 ) 温度 陡然 升 高 时 ， 就 有 可 
能 超过 预先 设置 的 温度 阔 值 。 


搭载 风 忆 的 路 由 器 大 多 会 计算 风 忆 的 转速 ， 当 出 现 正 常 范围 以 
外 的 转速 时 ， 将 会 通过 Syslog 或 SNMP Trap 对 外 告知 异常 。 


电源 告警 


配备 风 余 电源 结构 单元 的 路 由 器 ， 当 单独 电源 发 生 供 电 故 障 
时 ， 会 通过 Syslog 或 SNMP Trap 对 外 告知 异常 。 


03.07.05 ”设置 时 间 


如 果 设 备 没有 设置 正确 的 时 间 ， 那 么 就 会 发 生日 志 记 录 的 时 刻 
与 实际 相左 的 情况 。 在 可 以 设置 时 区 的 设备 中 ， 本 地 时 间 选 择 
本 国 时 间 即 可 。 而 那些 在 世界 各 地 均 有 办 公 场 所 的 跨国 企业 ， 
为 了 对 日 志 进 行 统一 监控 ， 则 需要 将 所 有 路 由 器 的 时 间 均 设置 
成 格林 尼 治 标准 时 间 (GMT) 。 


路 由 器 的 时 钟 信 息 虽 然 可 以 通过 手动 设置 ， 但 在 现 网 中 ， 路 由 
虱 之 间 往 往 会 有 日 志 通 信 等 依赖 时 间 的 通信 交互 ， 因 此 要 求 茶 
台 路 由 需 中 的 时 间 必 须 与 其 他 路 由 器 保持 绝对 一 臻 《同步 ) ， 
这 时 路 由 需 就 需要 使 用 NTP 来 完成 时 钟 同 步 。 


表 3-32 日 本 主要 的 NTP 服务 器 4 























4 中 国 国内 可 以 使 用 由 部 分 高 校 提 供 的 NTP 服务 器 。 一 一 译 者 注 


灵 乡 
服务 供应 广 主要 主机 名 
(Stratum) 
Internet Multi-Field ntp.jst.mfeed.ad.jp 











Ring Server Project ntp.ring.gr.jp 





e-timing (AMANO Business atsl.e-timing.ne.jp |1 
Solutions ) 





在 NTP 服务 器 的 层级 构造 中 ， 获 得 正确 的 时 间 信 息 源 并 与 之 
同步 运行 的 最 上 层 称 为 Stratum 1。Stratum 2 的 NTP 服务 器 通 
过 NTP 协议 从 Stratum 1 的 NTP 服务 器 获得 时 间 信 息 。 以 此 类 
推 ，Stratum 3 的 服务 器 从 Stratum 2 处 获得 时 间 信 息 。Stratum 
层级 最 高 可 达 15 层 。 


03.07.06 ”故障 排查 


当 路 由 器 未 按 设 想 情 况 运 行 时 ， 为 了 找 出 原因 就 需要 进行 故 隐 
排查 (trouble shooting) 。 


由 设置 失误 而 引起 错误 提示 或 者 进行 了 正确 设置 但 WebUI 上 
却 没 有 出 现 提 示 正 确 的 信息 等 都 是 显而易见 的 错误 ， 也 能 够 世 
刻 定 位 故障 的 原因 。 但 如 果 是 正确 设置 却 仍然 出 现 bug 或 者 在 
连接 其 他 广 商 的 设备 时 出 现 问题 等 情况 ， 故 障 原 因 则 无 法 简单 
地 定位 。 为 了 应 对 这 些 情况 ， 大 多 数 路 由 器 都 配备 了 调试 工 
有 具 。 路 由 器 的 调试 功能 在 一 般 情 况 下 不 会 生效 ， 但 当 针 对 某 项 
单独 功能 时 即 可 生效 。 当 该 功能 执行 时 ， 调 试 功能 会 退 踩 处理 
流程 、 给 出 该 功能 运行 成 功 或 失败 的 提示 信息 ， 如 果 运 行 失 败 
还 会 记录 失败 的 详细 原因 ， 因 此 能 够 有 效 地 帮助 用 户 判 断 设 置 
是 否 有 误 等 。 

诊断 工具 (Diagnostic/Debusg 命令 ) 

大 多 数 路 由 器 会 配备 诊断 与 调 斌 命令。 故障 发 生 时 ， 用 户 可 以 
通过 这 些 命令 获取 路 由 器 内 部 程序 运行 的 步 又， 以 及 到 底 是 哪 
个 处 理 引 发 了 错误 等 信息 。 

分 组 捕获 

为 了 确定 某 些 特定 的 分 组 在 通过 路 由 器 时 是 否 会 因为 路 由 器 的 
设置 、 访 问 列表 、bug 等 原因 被 丢弃 ， 部 分 路 由 器 产品 还 提供 


了 分 组 捕获 〈Packet Capture) 功能 ， 访 功能 也 称 为 PCAP。 捕 
获 文件 在 Windows PC 上 也 可 以 通过 Wireshark 〈 以 前 称 为 














Ethereal ) 的 应 用 软件 来 查阅 。 
吐 核 


当 路 由 器 的 软件 程序 因 不 正当 的 舟 存 访问 、 缓 存 盗 出 、 堆 指针 
音 误 等 原因 导致 异常 中 止 时 ， 会 生成 名 为 core dump 的 文件 ， 
文件 中 会 记录 异常 中 止 时 寄 春 器 以 及 内 存 的 有 关内 容 。 根据 这 
些 内 容 能 够 定位 程序 的 bug 并 及 时 修正 。 由 于 异常 而 终止 的 进 
程 生 成 core dump 文件 的 过 程 也 被 称 为 “ 吐 核 ?>。 获 取 core dump 
文件 的 方法 根据 实现 方式 的 不 同 而 有 所 差异 ， 但 文件 生成 后 必 
须 交 给 三 商 ， 让 广 商 进 行进 一 步 的 解析 。 


03.07.07 ”文件 传输 控制 


当 用 户 需 要 将 路 由 器 上 运行 的 操作 系统 文件 、 设 置 文件 、 日 志 
文件 等 传输 到 个 人 计算 机 时 ， 或 从 个 人 计算 机 传输 到 路 由 器 
时 ， 可 以 使 用 TFTP、FTP、SCP、SFTP 等 文件 传输 协议 。 以 
WebUI 为 主 的 路 由 塔 还 可 以 使 用 HITP 和 HTTPS 协议 。 




















03.07.08 ”其 他 工具 包 
ee 还 可 以 使 用 表 3-33 中 列 出 的 UNIX 通用 的 工具 包 


表 3-33 ”可 以 在 路 由 器 中 使 用 的 主要 工具 软件 包 


| 














使 用 ICMP 中 的 echo request 确 认 目 的 地 主机 是 否 联通 














ICMP 协 议 收集 发 送 源 到 目的 地 的 路 由 信息 





TCP 端 口号 为 23， 从 路 由 器 的 CLI 界 面 访问 网 络 中 其 他 路 由 器 
的 控制 台 或 CLI 界 面 





ssh TCP 端 口号 为 22， 从 路 由 器 的 CLI 界 面 连 接 并 访问 网 络 中 其 他 
路 由 器 的 控制 台 或 CLI 界 面 ， 整 个 链 路 保持 加 密 状 态 



































TCP 端 口号 为 513， 从 路 由 器 的 CLI 界 面 通过 网 络 登陆 到 远程 
服务 器 上 

















由 RFC959 定 义 ， 与 外 部 tftp 服 务 器 之 则 通过 FTP 完 成 文件 或 路 
由 器 设置 信息 的 导入 或 导出 











由 RFC1350 定 义 的 简易 FTP， 与 外 部 tttp 服 务 器 之 间 完 成 文件 
或 路 由 器 设置 信息 的 导入 或 导出 




















03.08 ”路 由 器 的 架构 
以 个 人 计算 机 为 代表 ， 计 算 机 一 般 由 控制 装置 (CPU) 、 主 存 
储 器 〈 内 存 ) 和 辅助 存储 器 (HDD) 、 运 算 装 置 (CPU) 、 输 
入 设备 (键盘 或 鼠标 )、 输 出 设备 (显示 器 ) 五 大 部 分 组 成 。 
而 物理 路 由 器 的 构造 与 个 人 计算 机 的 构造 类 似 〈 表 3-34) 。 
表 3-34 比较 个 人 计算 机 与 路 由 器 的 构成 要 素 

| TAT 


示 

















U 


注 1: 只 有 一 部 分 产品 配 有 该 要 素 。 











03.08.01 路 由 器 的 构成 要 素 
接 下 来 让 我 们 进一步 了 解 一 下 表 3-34 列 出 的 路 由 器 的 构成 要 


人 人 ~、 


CPU 


通常 使 用 钥 入 式 设备 和 通信 设备 专用 的 人 处理 器 或 者 通用 处 理 

器 。 例 如 ，Juniper 公司 的 高 问 路 由 器 使 用 Intel 公司 的 奔腾 系 
列 ， 思 科 公 司 的 高 端 路 由 器 使 用 MIPS 的 R5000/RM7000 系列 
等 。 除 了 这 些 以 外 ， 还 有 Intel 和 AMD 公司 提供 的 藤 入 式 设备 
或 通信 设备 专用 的 处 理 器 以 及 服务 器 专用 的 处 理 姻 ， 还 有 IBM 
和 摩托 罗拉 公司 共同 开发 的 PowerPC、Cavium Networks 公司 
和 Broadcom 公司 的 通信 设备 专用 处 理 喜 可 供 选 择 。 


与 个 人 计算 机 的 CPU 不 同 ， 路 由 器 必须 选择 三 两 能够 长 期 稳 
定 供 货 的 CPU 产品 ， 这 一 点 也 适用 路 由 器 产品 的 其 他 部 件 。 





一 般 一 台 路 由 器 只 配备 1 块 CPU。 但 是 部 分 高 端 路 由 器 的 线 卡 
或 独立 路 由 模块 中 同样 会 搭载 额外 的 CPU， 因 此 一 人 台 路 由 器 机 
框 中 可 能 会 同时 使 用 多 块 CPU。 


一 般 来 说 ，CPU 运行 频率 越 快 处 理 能 力 越 强 ， 但 由 于 路 由 器 对 
CPU 性 能 的 需求 要 低 于 个 人 计算 机 和 服务 器 ， 因 此 路 由 器 上 搭 
载 的 CPU 运行 频率 也 会 低 于 当前 主流 的 个 人 计算 机 CPU 的 频 
率 。 例 如 ， 低 端 路 由 器 的 CPU 运行 频率 为 50~180MHz， 思 科 
公司 的 中 端 路 由 器 CPU 频率 在 100~350MHz 之 间 ， 而 高 端 路 
由 器 CRS-1 使 用 的 PowerPC 路 由 处 理 器 主 频 为 1.2GHz。 


虽然 在 CPU 上 执行 的 代码 是 作为 软件 功能 运行 于 路 由 器 的 操 
作 系 统 中 ， 但 也 有 部 分 路 由 露 使 代码 与 硬件 芯片 〈 后 文 会 提 
到 ) 协同 工作 ， 通 过 硬件 完成 特定 的 高 速 处 理 。 


存储 器 


存储 器 大 致 分 为 只 读 存 储 器 ROM (Read Only Memory) 和 随 
机 存储 器 RAM (Random Access Memory) 两 大 类 。ROM 在 
电源 切断 后 存储 的 内 容 不 会 消失 ， 但 只 能 读 取 内 容 ， 无 法 写 入 
新 的 数据 。 而 RAM 虽然 能 够 写 入 新 的 数据 ， 但 电源 切断 后 ， 
数据 将 全 部 丢失。 集合 了 二 者 特点 的 是 NVRAM 和 闪存 。 目 
前 几乎 所 有 的 路 由 器 都 没有 携带 硬盘， 而 是 将 操作 系统 和 设置 
信息 保存 在 NVRAM 和 闪存 中 。 


表 3-35 路 由 需 使 用 的 内 存 种 类 





























在 路 由 器 内 部 的 


用 途 





用 于 存储 出 厂 时 安装 的 程序 。 电 源 关闭 ”| MiniIOS、POST、 
后 ， 内 容 不 会 消失 Bootstrap 











es 启动 中 的 操作 系 
(Random 通过 电气 方式 读 写 数据 。 电源 关闭 后 内 容 2 2 i 


Access 消失 








Memory) Running-config 


即使 切断 电源 ， 存 储 的 数据 也 不 会 丢失 的 | 。 
RAM。 在 集成 电路 内 部 内 置 了 SRAM 和 小 |> arpP-Con 8、 


型 电池 Config-register 


EEPROM 的 一 种 ， 通 过 施加 电压 高 速 存 取 
数据 ， 属 于 能 够 多 次 擦 去 原来 内 容 并 重 写 |IOS 操作 系统 ) 
即使 切断 电源 存储 的 内 容 也 不 ”| 镜像 注 1 























注 1: 镜像 是 以 文件 形式 保存 软件 的 一 种 方式 。 
操作 系统 、 固 件 


个 人 计算 机 以 及 服务 器 通过 运行 Windows、MacOS、Linux 等 

操作 系统 ， 提 供 了 使 用 应 用 程序 软件 的 各 种 基本 功能 ， 比 如 控 

制 键盘 输入 或 显示 输出 、 进行 磁盘 以 及 内 存 管理 等 。 人 硬件 路 由 
器 设备 上 也 搭载 了 专用 的 操作 系统 。 


路 由 器 使 用 的 操作 系统 可 以 是 同属 UNIX 系列 的 FreeBSD， 也 
可 以 是 个 厂商 基于 其 他 实时 操作 系统 二 次 开发 的 操作 系统 。 与 
个 人 计算 机 上 运行 的 操作 系统 提供 了 各 类 应 用 软件 不 同 ， 该 专 
用 操作 系统 中 仅 包 含 路 由 器 必 备 的 相关 软件 。 该 操作 系统 也 是 
以 镜像 或 镜像 文件 作为 载体 存在 的 ， 大 小 从 几 MB 到 几 百 MB 
0 00 0 

又 。 


类 似 思科 公司 的 IOS 和 IOS XR、Juniper 公司 的 JUNOS 这 样 
带 有 名 称 (OS) 的 操作 系统 ， 有 时 可 以 简单 称 为 “XX〔 产 品 
名 ) 专用 固件 (firmware) ”。 


路 由 器 的 操作 系统 分 为 IOS 这 种 所 有 进程 共享 单一 内 存 空 间 的 
单 体 式 (monolithic〉 操作 系统 ， 和 JUNOS、IOS XR 这 种 每 个 
进程 均 有 专用 内 存 空 间 的 模块 式 (modular) 操作 系统 。 高 端 

路 由 器 一 般 采 用 模块 性 操作 系统 架构 ， 这 样 即使 某 个 进程 异常 
退出 ， 也 不 会 影响 其 他 进程 ， 使 操作 系统 拥有 更 高 的 可 靠 性 和 





可 用 性 。 
操作 系统 的 版 本 


路 由 器 的 操作 系统 一 般 会 定期 发 布 新 版 本 。 虽 然 各 厂商 的 发 布 
时 间 不 同 ， 但 搭载 新 功能 的 主 版 本 (或 副 版 本 ) 一 般 半 年 或 者 

-年 发 布 一 次 。 奋 在 主 版 本 或 副 版 本 中 发 现 了 bug， 则 会 每 月 
发 布 一 个 对 应 的 修正 版 本 (bug batch 版 〉。 


新 版 本 中 的 必 选 功能 和 修正 的 bug 数 越 多 ， 版 本 的 质量 也 就 越 
高 。 但 有 时 伴随 着 新 功能 的 增加 和 bug 的 修正 也 会 引入 新 的 
bug 导致 退 化 (degrade) ， 因 此 在 升级 版 本 前 ， 最 好 测试 一 下 
必 选 功能 是 否 能 够 正常 运行 。 
IOS 版 本 范例 
小 数 点 前 后 的 两 位 数字 表示 主 发 布 (major release) 编号 
《 即 主 版 本 ) ， 该 数值 越 大 表示 该 版 本 文 持 的 功能 就 越 丰 
富 。 在 每 个 主 发 布 编号 后 面 的 括号 中 记录 了 维护 发 布 编 
号 ， 该 数值 越 大 表示 改正 的 bug 数量 越 多 ， 因 此 最 好 选择 
数值 较 大 的 版 本 。 最 后 的 重建 识别 符 使 用 字母 或 数字 表 
示 ， 表 示 对 某 些 不 健壮 以 及 重大 问题 的 修正 次 数 。 


12.2(13e) 
12.3(2)T5 


主 发 布 编号 维护 发 布 测试 版 本 | 重建 识别 符 
编号 各 


祭 识 条 




















WS 





图 3-40 IOS 的 版 本 形式 


JUNOS 版 本 范例 





JUNOS 版 本 号 最 开始 的 数字 称 为 主 用 布 编写， 小数 点 之 





后 的 数字 称 为 副 发 布 编号 (minor release) ， 这 两 个 数字 
合 在 一 起 表示 主 版 本 写 。 紧 随 其 后 的 字母 表示 发 布 类 型 ， 
R 为 标准 版 ，B 为 beta 版 ，S 为 服务 版 。 再 后 面 的 构建 编 
号 与 最 后 的 附带 编号 共同 表示 维护 发 布 编号 ， 也 称 为 修订 
(revision) 版 本 写 ( 图 3-41) 。 


| 


<R3 











个 
| | 构建 编号 附带 编号 


标准 版 


副 发 布 编号 


主 版 本 号 


网 络 接口 


修订 版 本 号 


图 3-41 JUNOS 的 版 本 形式 


路 由 露 存 在 多 个 用 于 物理 线 绩 连 接 的 接口 〈 称 为 物理 接口 或 物 
理 端口 ) 。 关 于 物理 接口 的 详细 信息 可 以 参考 本 书 第 1 章 。 


对 应 了 不 同 数 据 链 路 层 协议 的 网 络 接口 种 类 如 表 3-36 所 示 。 
表 3-36 路 由 器 的 数据 链 路 手段 


数据 链 路 手段 


POS 
(Packet over 
SONET/SDH) 


DPT 
(Dynamic Packet 
Transport/Resilient 


传输 SONET/SDH 数 
据 帧 。 可 用 于 高 速 
WAN 中 。 使 用 SFP 
等 光 接 口 














由 IEEE 802.17 定 义 
的 环形 拓扑 光 网 
络 。 一 般 使 用 SFP 等 








OC-192c/STM-64c 
POS 
OC-48c/STM-16c 
POS 
OC-120/STM-4c 
POS 

OC-3c0/STM-1c POS 


OC-192c/STM-64c 


DPT 冯 征 
OC-48c0/STM-16c (SC 
DPT LCM EC、 


Packet Ring ) 


ATM 
(Asynchronous 
Transfer Mode ) 


光 接 口 


由 ATM 论 坛 制定 规 
格 ， 进 行 ATM 信 元 
(cell) 数据 帧 的 传 


OC-12cC/9TM-4c 
DPT 


MTRJ 等 ) 


OC-120/STM-4c 
AT™ 
OC-3c0/STM-1c 


输 ATM 


OC-48c/STM-16c 
POS 
OC-120/STM-4c 
POS 

OC-3c0/STM-1c POS 
ISDN PRI 


支持 TI1、E1、T3、 
E3 等 复 用 接口 。 
ISDN PRI 


Channelized 


Ethernet (10BASE- 
T) 

Fast 

Ethernet (10/100 
BASE-TX) 

Gigabit Ethernet 
10-Gigabit Ethernet 


由 IEEE 802.3 定 义 ， 
传输 以 太 网 数据 帧 


ITU-T 1.430 的 ISDN 
BRI (基本 接口 ) 


ISDN 
BRI (64kbit/s) 


LAN 线 缆 
(RJ-45) 


ISDN BRI 








便 件 模 块 


在 高 端 路 由 器 中 ， 路 由 器 的 一 部 分 功能 并 不 是 使 用 软件 进行 
CPU 处 理 ， 而 是 使 用 硬件 心 片 进 行 高 速 处 理 来 实现 。 


sm ASIC 


ASIC 是 专用 集成 电路 (Application Specific Integrated 
Circuit) 的 简称 ， 属 于 LSI (大 规模 集成 电路 ) 的 一 种 ， 
是 专门 为 特定 厂商 的 产品 或 某 项 用 途 而 开发 的 心 片 。 路 由 
器 厂商 也 可 能 会 参与 自 定义 ASIC 心 片 的 设计 工作 。 用 于 
网 络 的 ASIC 芯片 提供 了 以 太 网 MAC 层 处 理 和 卫 分 组 转 











发 处 理 等 功能 。 


sm FPGA 








FPGA 是 现场 可 编程 门 阵列 (Field-Programmable Gate 
Array) 的 简称 ， 是 与 ASIC 类 似 的 集成 电路 。 搭 载 了 集成 
电路 的 路 由 露 在 成 品 后 ， 路 由 器 广 商 依然 可 以 对 其 进行 纺 
程 操作 。FPGA 进行 的 处 理 一 般 通过 硬件 描述 语言 

CHDL，Hardware Description Language) 来 定义 。FPGA 
不 仅 能 够 实现 和 ASIC 同样 的 功能 ， 还 能 在 成 品 后 继续 更 
新 功能 、 进 行 再 编程 等 操作 ， 因 此 可 以 轻易 添加 新 功能 并 
修复 有 问题 的 部 分 。Xilinx 公司 和 Altera 公司 都 是 知名 的 
FPGA 厂商。 


安全 加 速 器 

安全 加 速 器 (security accelerator) 也 称 为 VPN 加 速 器 ， 
是 为 了 高 速 处 理 SSL、IPSec 等 加 密 处 理 通信 而 搭载 了 加 
密 、 解 密 等 专用 芯片 的 模块 。 该 模块 有 时 也 单独 作为 可 选 
模块 卡 供用 户 使 用 。 


电源 

同 交 换 机 类 似 ， 路 由 器 设备 一 般 也 会 配备 电源 模块 ， 详 细 内 容 
可 以 参照 01.04 节 的 内 容 。 

03.08.02 ”启动 路 由 器 的 流程 


路 由 霹 从 通电 后 到 开始 使 用 之 前 ， 会 按照 以 下 步 又 启动。 虽然 
这 些 步 又 是 以 思科 路 由 器 为 例 进行 说 明 的 ， 但 执行 POST、 执 
行 bootstrap、 载 入 操作 系统 与 设置 这 个 步 又 对 所 有 路 由 器 都 适 
用 。 





1. 通电 后 会 执行 保存 在 ROM 中 的 POST (Power On Self 
Test， 上 电 自 检 ) 程序 。 该 步 又 主要 识别 物理 接口 等 设备 上 的 
部 件 ， 完 成 对 硬件 的 检测 (图 3-43 的 GD) 。 


2. 当 POST 执行 完毕 后 ， 执 行 在 ROM 中 保存 的 bootstrap 程 








序 。 人 参考 配置 寄存 器 (configuration register) 的 值 检 索 启 动 的 
人 
小 


人 
(5)) 


4. IOS 局 动 后 在 NVRAM 中 检索 startup-config 信息 ， 如 果 存 在 
该 文件 则 将 以 running-config 的 形式 在 RAM 中 展开 。 当 设备 

刚 出 广 ， 在 NVRAM 中 不 存在 startup-config 时 ， 则 通过 setup 
mode 方式 启动 。 (图 3-42 的 (6)) 




















1 执行 POST， 检 测 硬件 





闪存 









10S 镜 像 2 启动 bootstrap ( 将 该 程序 从 | ; Ee 
ROM 展 开 到 RAM 中 ) | __POST 








5) 读 取 IOS 并 启动 bootstrap 





3) 根据 配置 寄存 器 的 值 决定 启 
动 模式 
4 根据 startup-config 的 boot NVRAM 


system 一 行 的 信息 启动 IOS 配置 寄存 器 


startup—config 








6) 从 NVRAM 中 完整 读 入 startup-config 信 
息 ( 在 RAM 中 称 为 running-config ) 


图 3-42 路 由 器 的 启动 流程 

03.08.03 ”路 由 器 的 一 般 架 构 

共享 总 线 型 (中 央 处 理 器 ) 

桌面 式 路 由 器 和 低 端 路 由 器 一 般 采 用 共享 总 线 型 架构 。 该 架构 
比较 古老 ， 实 现 方式 简单 ， 但 由 于 规模 越 大 就 越 要 配备 与 之 对 
应 的 高 速 内 存 管理 系统 ， 因 此 不 适用 于 大 型 路 由 器 。 

共享 总 线 和 共享 内 存 的 架构 方式 ， 其 性 能 与 总 线 的 交换 容量 
(带宽 ) 有 着 密切 的 关系 (图 3-43) 。 另 外 ， 这 种 架构 既 可 以 
所 有 的 网 络 接口 共享 1 根 总 线 ， 也 可 以 几 个 网 络 接口 共享 一 根 


总 线 。 例 如 ， 有 台 设 备 带 有 1 工 号 至 8 号 共 8 个 
10/100/1000BASE-T 网 络 接口 ， 从 1 号 接口 到 4 号 接口 有 1 根 





容量 为 500Mbits 的 共享 总 线 ， 同 样 5 号 接口 至 8 号 接口 也 有 
1 根 500Mbit/s 的 共享 总 线 ， 这 时 1 号 接口 可 以 单独 使 用 所 有 
500Mbit/s 的 带宽 进行 通信 ， 或 者 1 号 与 5 号 接口 并 用 ， 共 享 
整个 设备 的 总 线 带 宽 ， 使 路 由 器 的 对 外 吞吐 量 达到 1Gbit/s。 


尽管 硬件 对 外 的 最 快 通信 速度 也 依赖 于 CPU 每 秒 能 够 处 理 的 
分 组 数量 (packet per second) ， 但 即使 未 达到 CPU 处 理 上 

限 ， 共 享 总 线 型 设备 的 交换 容量 也 只 能 达到 规定 的 吞吐 量 上 
限 。 








CPU 内 存 
( 路 由 表 ) 





图 3-43 共享 总 线 型 路 由 器 的 结构 
低 端 路 由 器 


图 3-44 展示 了 思科 公司 低 端 路 由 器 Cisco 1600 系列 的 结构 
图 ， 该 系列 路 由 器 属于 共享 总 线 型 架构 。 





Cisco 1600 路 由 器 


Motorola 
M68360 处 理 器 
(CPU ) 


串口 、 
ee 


NVRAM: Non-Volatile Random-Access Memory 
PCMCIA，Flash 存 储 卡 

























DRAM., Dynamic Random Access Memory 
SIMM: Single In-Line Memory Module 


图 3-44” 低 端 路 由 器 (Cisco 1600) 的 架构 
大 多 数 小 型 路 由 器 均 采 用 外 部 AC 电源 供电 运行 。 


机 框 上 配备 了 以 太 网 接口 、 串 口 、ISDN 的 BRI 端口 。WAN 
系列 的 接口 卡 可 以 安装 在 WIC (WAN Interface Card，WAN 
接口 卡 ) 槽 上 ， 访 接口 卡 上 配备 了 串口 、T1、ISDN 端口 和 以 
太 网 接口 ， 各 个 接口 通过 IO 总 线 (Input/Output 总 线 ) 连接 
CPU。 


CPU《〈 处 理 器 ) 读 取 操作 系统 内 定义 的 指令 并 执行 。CPU 的 性 
能 会 根据 总 线 速度 的 变化 而 变化 。CPU 和 内 存 之 间 通 过 CPU 
总 线 连接 。 















































Cisco 1600 系 列 的 内 存 
DRAM SIMM ( 主 进程 内 存 ) 启动 ROM 
路 由 表 队列 ROMMON、 RxBoot 
路 径 缓存 |] 缓存 首部 
- NVRAM 
板 载 DRAM ( 共享 输入 输出 内 存 ) startup-config 
系统 缓存 | 发 送 缓存 
. PCMCIA 











图 3-45 ” Cisco 1600 系列 的 内 存 


图 3-45 记录 了 小 型 路 由 器 的 内 存 分 配 结构 。DRAM 内 存在 未 
辑 上 分 为 包含 路 由 表 的 主 进程 内 存 ， 和 包含 分 组 、 接 口 缓存 的 
IO 内 存 两 个 区 域 。 


0 0 0 
中 端 路 由 器 


图 3-46 展示 了 中 端 路 由 器 架构 的 代表 一 一 Cisco 3600 系列 的 结 
构图 。 该 系列 同样 使 用 共享 总 线 型 架构 ， 除 了 固定 的 端口 以 外 
还 可 以 连接 接口 模块 。 


Er \ 
IDPROM 


Dual UART 
| | ppmov | 
电源 模块 处 理 器 
通用 异步 收发 传输 器 : Universal Asynchronous Receiver/Transmitter ”控制 端口 AUX 端 口 
识别 可 编程 只 读 存储 器 : Identification Programmable Read Only Memory 


图 3-46 中 端 路 由 器 (Cisco 3600) 的 架构 
中 高 端 路 由 器 
图 3-47 展示 了 中 高 端 路 由 器 的 架构 图 。 这 种 级 别 的 路 由 器 拥 


有 电源 模块 元 余 、 独 立 路 由 引擎 、 能 够 答 换 的 风 书 托盘 、 多 个 
接口 模块 或 线 卡 插 模 以 及 在 接口 卡 模 块 之 间 进 行 通 信 的 背 板 。 





Cisco 3600 路 由 器 | 
启动 ROM 
NVRAM 
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贺 轿 


midplane 网 络 处 理 器 引擎 ( NPE ) 

































控制 AUX 
端口 端口 


图 3-47 Cisco 7200VXR 系列 的 架构 
共享 总 线 型 (分 布 式 处 理 器 ， 分 布 式 架构 ) 


分 布 式 处 理 嚣 是 指 通 过 在 网 络 接口 的 线 卡 上 搭载 CPU， 使 线 卡 
内 部 的 数据 传输 不 依靠 中 央 处 理 器 也 能 进行 的 架构 模型 (图 3- 
48) 。 早 期 的 机 框 式 高 端 路 由 器 或 模块 型 中 端 路 由 器 产品 均 采 
用 该 架构 。 在 该 架构 中 同样 使 用 共享 总 线 连接 处 于 控制 部 分 的 
CPU， 最 大 传输 速度 依赖 于 总 线 的 容量 。 


共享 总 线 


CPU 内 存 
( 路 由 表 ) 





图 3-48 分布 式 处 理 器 的 结构 
纵横 通路 方式 


使 用 共享 总 线 型 架构 ， 分 组 的 传输 性 能 会 受到 总 线 带宽 的 限 
制 。 因 此 对 传输 速度 有 着 很 高 要 求 的 高 端 路 由 右 通 常 使 用 交换 
结构 (switch fabric) 的 传输 线路 取代 共享 上 总线， 来 提高 系统 整 
体 的 传输 性 能 。 


在 箱 式 路 由 器 中 ， 端 口 〈 接 口 ) 之 间 的 数据 传输 是 通过 交换 结 
构 实现 的 。 


在 机 框 式 路 由 堪 中 ， 搭 载 了 传输 引擎 (CPU ) 和 内 存 的 线 卡 之 
间 的 数据 传输 ， 同 样 也 是 经 由 交换 结构 来 实现 的 。 多 数 机 框 式 
路 由 器 或 交换 机 都 使 用 纵 模 交换 方 式 中 的 交换 结构 完成 数据 传 
输 ， 因 此 这 样 的 架构 形式 也 称 为 纵横 通路 (crossbar) 方式 。 
(图 3-49) 


交换 结构 直接 使 用 半导体 心 片 ， 通 过 心 片 完成 线路 电气 信号 的 
处 理 。 








纵横 通路 交换 


( crossbar switch ) 





CPU 存储 
( 路 由 表 ) 


图 3-49 ”纵横 通路 方式 的 结构 
纵横 通路 交换 


纵横 通路 交换 (crossbar switch) 也 称 为 交叉 点 交换 或 矩阵 交 
换 。 在 由 M 个 输入 线路 、N 个 输出 线路 组 成 的 纵横 通路 交换 


中 ， 会 有 MxN 个 交叉 点 〈crosspoint) ， 每 个 交叉 点 上 会 产生 
一 个 交换 (图 3-50) 。 当 交换 处 于 开启 状 态 时 ，M 个 输入 将 
和 N 个 输出 直接 连通 。 


通路 (bar) 是 数据 流动 的 载体 ， 也 可 称 为 网 状 通道 (fabric 


channel) 。 





图 3-50 ”纵横 通路 交换 的 结构 
接口 槽 1 ”接口 槽 3 ”接口 槽 5 接口 槽 7 接口 槽 9 


5 6 9 10 13 14 
纵横 通路 交换 结构 ASIC 





7 8 fF12 


接口 槽 2 ”接口 槽 4 接口 槽 6 接口 槽 8 
图 3-51 纵横 通路 交换 的 示例 
在 图 3-51 的 示例 中 ， 该 架 型 路 由 器 拥有 9 个 接口 槽 ， 每 个 接 
口 槽 分 配 了 两 个 网 状 通 道 。 如 果 每 个 通道 容量 为 40GbiVs、 每 
个 接口 槽 的 传输 容量 达到 80Gbits， 就 可 以 完成 4 端口 10G 以 
太 网 或 1 端口 40G 以 太 网 带宽 的 双 辐 无 阻塞 处 理 。 





线 端 阻 突 与 虚拟 输出 队列 


线 端 阻塞 (HOL，Head of line blocking) 是 指 在 网 络 硬件 中 发 
生 的 缓存 性 能 低下 的 现象 。 

由 输入 端口 、 交 换 结 构 、 输 出 端口 组 成 的 交换 机 中 ， 如 果 使 用 
FIFO (First-in First-out) 输入 缓存 ， 会 优先 传输 最 初 进 入 缓存 
《队列 ) 的 分 组 ， 但 如 果 作 为 目的 地 的 输出 缓存 正在 使 用 中 ， 
就 不 会 转发 先进 入 缓存 的 分 组 ， 进 而 后 面 进 入 缓存 的 分 组 也 无 
法 传送 (图 3-52) 。 


输入 端口 


pe 
而 
bam 
图 





图 3-52 线 端 阻塞 的 形成 结构 
解决 线 端 阻塞 的 方法 之 一 就 是 使 用 虚拟 输出 队列 。 





a C 

0 或 1 一 0 

0 或 1 一 一 1 
b d 


图 3-53 ”2x2 的 纵横 通路 交换 示例 


如 图 3-53 所 示 ， 该 纵横 通路 交换 示例 中 的 输入 输出 端口 各 有 
两 个 。 在 到 达 输 入 端口 a 和 的 数据 中 ， 以 输出 端口 c 为 目的 
地 的 数据 用 0 表示 ， 以 输出 端口 d 为 目的 的 数据 用 1 表示 。 


当 有 数据 同时 到 达 输 入 端口 a、b 时 ， 可 能 会 发 生 以 下 四 种 情 
况 : 端口 a 与 b 均 为 数据 0 (00) ， 端 口 a 为 数据 0 端口 b 为 
数据 1 (01) ， 端 口 a 为 数据 1 端口 b 为 数据 0 (10) ， 端 口 a 
与 b 均 为 数据 1 (1) 。 


输入 端口 的 数据 为 00 时 ， 两 个 输入 数据 会 同时 传输 到 输出 端 
口 c 上 ， 但 输出 端口 在 单位 时 间 内 处 理 的 数据 量 有 限 ， 因 此 输 
出 端口 c 无 法 做 到 同时 对 外 转发 这 两 个 数据 。 这 时 2x2 的 交换 
结构 效率 实际 只 有 0.5。 当 输入 为 11 时 ， 该 交换 结构 的 效率 也 
同样 为 0.5。 而 在 输入 数据 为 01 或 10 时 ， 由 于 两 个 输出 端口 
能 够 同时 处 理 数据 ， 因 此 交换 结构 的 效率 可 以 达到 1。 因 为 这 
四 种 模式 发 生 的 概率 相等 ， 均 为 0.25， 所 以 2x2 交换 结构 的 整 
体 效 率 为 0.75= (0.25x0.5 十 0.25x0.5 十 0.25x1x2) 。 由 此 可 
人 





在 图 3-54 中 ， 和 输出 端口 c 和 d 上 各 自 配 备 了 两 个 缓存 作为 虚 
拟 和 输出 队列 ， 这 时 当 输 入 端口 a 和 b 同时 传输 11 或 00 这 样 两 
个 连续 的 数据 时 ， 输 出 端口 也 能 够 同时 处 理 。 以 此 类 推 ， 在 
nxn 的 纵横 通路 交换 中 ， 如 果 每 个 输出 问 口 都 预先 配备 了 数目 
为 n 的 缓存 ， 就 可 以 达到 纵横 通路 交换 中 最 大 的 整体 效率 。 











当 没有 虚拟 输出 队列 时 只 能 处 配置 了 虚拟 输出 队列 时 ， 输 出 端口 可 以 
理 1 个 数据 ， 从 而 导致 发 生 线 等 待 处 理 ， 整 个 交换 结构 带宽 的 使 用 效 
端 阻塞 率 也 能 达到 最 大 化 


图 3-54 虚拟 输出 队列 


03.08.04 ”路 由 器 的 内 部 元 余 


传统 的 网 络 元 余 化 是 使 用 两 合 以 上 的 硬件 ， 通 过 运行 路 由 选择 
协议 或 生成 树 协 议 等 方式 来 实现 。 这 种 做 法 增加 了 额外 的 硬件 
或 链 路 ， 使 得 网 络 发 生 故 障 的 几率 随 之 增加 ， 切 换 时 间 的 控制 
也 越 来 越 复 杂 ， 还 会 发 生 在 切换 的 几 分 钟 或 几 秒 内 丢失 分 组 的 
问题 。 主 要 应 用 于 服务 供应 商 的 高 端 路 由 器 《或 交换 机 ) 为 了 
避免 这 类 问题 的 发 生 ， 会 在 工 台 硬件 设备 上 实现 两 台 人 硬件 设备 
的 功能 ， 从 而 避免 了 因 软 硬件 故障 造成 的 系统 意外 当 机 。 


| 即使 发 生 故 障 ， 也 能 通过 优雅 启动 
( gracefully start ) 避免 链 路 断 开 “| 






连接 的 硬件 无 法 检测 
到 链 路 断 开 的 情况 


| 通过 NFS/SSO/NSR 等 功能 恢复 } 
图 3-55 ”通过 路 由 器 的 内 部 见 余 防止 故障 
控制 平面 与 数据 平面 


高 端 路 由 器 由 控制 平面 〈control plane) 和 数据 平面 (data 
plane， 也 可 称 为 转发 平面 ) 组 成 ， 每 个 平面 都 有 自己 的 CPU 
和 内 存 。 控 制 平 面 负责 执行 路 由 选择 协议 ， 管 理 路 由 选择 处 理 
必 备 的 数据 库 信 息 并 生成 FIB (Forward Information Base， 转 
发 信息 库 ) 。FIB 信息 将 会 被 转发 到 用 于 接收 传输 分 组 的 数据 
平面 中 。 控 制 平面 和 数据 平面 分 离 的 优点 在 于 ， 当 需要 转发 的 
通信 和 量 剧 增 导致 数据 平面 资源 枯竭 时 ， 虽 然 无 法 继续 进行 分 组 
转发 ， 但 对 控制 平面 上 路 由 选择 处 理 所 涉 及 的 资源 没有 任何 影 
啊 。 同 样 ， 当 路 由 选择 处 理 负载 剧 增 导致 控制 平面 资源 枯竭 
人 
is] 。 











低 端 路 由 器 的 控制 平面 与 数据 平面 一 般 不 分 离 ， 使 用 唯一 的 
CPU 和 内 存 进 行 处 理 。 当 处 理 的 通信 量 达到 极限 时 ， 会 出 现 无 
法 完成 分 组 转发 ， 同 时 路 由 选择 处 理 也 会 停止 的 情况 。 


控制 平面 所 需 的 核心 模块 在 思科 公司 的 路 由 器 中 称 为 路 由 处 理 
器 (route processor) ， 在 Juniper 公司 的 路 由 器 中 称 为 路 由 引 


擎 (routing engine) 。 
mn NSF 


当 路 由 器 控制 平面 停止 运行 时 ， 数 据 平面 也 能 够 根据 FIB 
信息 不 间断 进行 分 组 转发 的 功能 即 为 NSF (Non-Stop 
Forwarding， 不 间断 转发 ) ， 也 可 称 为 Graceful 

Restart (GR， 优 雅 重启 ) 。NSEF 通过 路 由 器 内 部 的 控制 
平面 元 余 化 实现 ， 在 工 台 路 由 器 中 运行 主 路 由 处 理 器 和 副 
路 由 处 理 器 两 个 处 理 器 〈 或 路 由 引擎 ) 。 当 主 路 由 处 理 器 
发 生 故 障 时 ， 会 由 副 路 由 处 理 器 接替 其 完成 剩余 处 理 。 


sm SSO 


路 由 器 中 副 控制 平面 通过 同步 复制 并 管理 当前 运行 设置 和 

接口 状态 等 系统 信息 ， 缩 短 主 控制 平面 发 生 故 障 时 切换 
(Failover)〉 时 间 的 功能 ， 在 思科 公司 的 产品 中 称 为 

SSO (Stateful Switch-Over， 状 态 切换 ) ， 在 Juniper 公司 

的 路 由 器 中 称 为 GRES (Graceful Routing Engine 

Switchover， 优 雅 路 由 引擎 切换 ) 。 


sm NSR 











NSR (Non-Stop Routing， 不 间断 路 由 ) 是 指 OSPF 或 
BGP 等 路 由 选择 协议 分 别 在 路 由 器 的 主 副 控制 平面 中 实 
现 。 即 使 使 用 了 SSO 或 GRES 功能 ， 路 由 器 在 切换 控制 
平面 时 与 相 邻 路 由 器 的 连接 也 会 断 开 ， 这 会 导致 路 由 选择 
协议 的 相 邻 关系 断裂 。 尽 管 副 控制 平面 激活 后 所 有 会 话 会 
重新 连接 ， 但 由 于 之 前 的 链 路 已 不 存在 ， 因 此 相 邻 路 由 器 
之 间 还 必须 寻找 新 的 链 路 。 这 时 ， 使 用 NSR 就 可 以 使 主 
控制 平面 和 副 控 制 平面 的 路 由 选择 协议 状态 或 相 邻 路 由 器 
之 间 的 连接 关系 始终 保持 同步 。 当 主 控制 平面 发 生 故 障 








时 ， 无 需 切断 路 由 信息 ， 直 接 由 副 控制 平面 接 蔡 即 可 ， 因 
而 避免 了 相 邻 路 由 器 进行 路 由 重 寻 的 过 程 。 

sm NSS 
能 够 保持 不 间断 提供 路 由 器 运行 的 VLL (Virtual Leased 
Line， 虚 拟 租用 线 ) 、VPLS (Virtual Private LAN Service, 
虚拟 专用 局 域 网 服务 ) 、IP-VPN、IES (Internet Enhanced 


Service， 互 联网 增值 服务 ) 、DHCP 租用 状态 等 服务 的 功 
能 称 为 NSS (Non-Stop Service， 不 间断 服务 ) 。 


m ISSU 
能 够 在 不 中 断路 由 器 上 运行 的 路 由 选择 和 其 他 服务 的 状态 
下 进行 路 由 器 软件 升级 的 功能 称 为 ISSU (In-Service 
Software Upgrade， 不 中 断 服 务 升级 ) 。 也 可 以 说 ISSU 束 
是 在 不 同 版 本 的 软件 中 进行 NSR 和 NSS。 
路 由 器 内 部 控制 平面 的 见 余 化 ， 能 够 带 来 以 下 优点 。 


通过 优雅 启动 使 整个 网 络 不 间断 使 用 动态 路 由 选择 功 
能 ， 同 时 保持 全 网 的 稳定 。 


与 使 用 VRRP 等 风 余 协议 的 网 络 相 比 ， 使 用 的 网 络 设 
0 避免 了 见 余 硬件 之 间 切 换 拌 动 带 来 的 影 
is] 。 

用 户 无 需 对 设备 进行 额外 的 配置 与 接收 特定 的 培训 。 


STP， 减 少 了 2 次 回环 问题 发 生 的 
坚 3 2 


因为 减少 了 网 络 中 硬件 数量 与 所 使 用 的 协议 数量 ， 所 
以 简化 了 整个 网 络 ， 降 低 了 网 络 的 管理 成 本 。 


丛 换 网 络 人 硬件 等 固有 模块 时 ， 通 信服 务 不 停 湾 ， 能 够 
做 到 不 间断 处 理 业务 。 


。 使 用 ISSU 能 够 升级 处 于 备份 状态 的 控制 平面 软件 ， 





使 网 络 硬件 持续 服务 的 同时 ， 完 成 版 本 升级 。 








| 人 
\ /4 \, 矿 \ 人 A 

属 | [a [rt 
Ti 二 
结构 复杂 且 发 生 故 障 的 情况 较 多 故障 很 少 


0 使 用 链 路 汇聚 的 网 络 和 使 用 NSEF 的 元 余 结构 网 


03.09 ”设置 操作 系统 时 使 用 的 命令 和 模式 
03.09.01 初始 化 
刚 买 的 路 由 器 在 首次 设置 前 会 保持 出 厂 时 的 初始 设置 状态 。 


低 端 路 由 器 或 宽带 路 由 器 的 初始 默认 设置 已 经 包括 了 以 下 信 
息 : 管理 员 用 户 名 和 密码 、 网 络 接口 的 私有 卫 地 址 (如 
192.168.1.1) 、DHCP 服务 功能 等 ， 所 以 只 需 直接 连接 计算 机 
就 可 以 远程 访问 UI， 完 成 后 续 设 置 。 


如 果 没 有 上 面 这 些 初 始 设置 ， 则 需要 输入 网 络 接口 的 全 地 
址 、 子 网 掩 码 、 默 认 网 关 和 管理 员 用 户 名 与 密码 ， 输 入 后 保存 
以 便 能 够 远程 访问 WebUI 或 CLI 界面 。 


保存 设置 后 ， 如 果 需 要 再 一 次 做 全 新 的 设置 ， 只 需 输 入 初始 化 
命令 即 可 使 整个 硬件 回 到 出 广 时 的 默认 设置 状态 。 

















03.09.02 ”通过 CLI 设置 


几乎 所 有 通信 硬件 的 CLI 都 采用 了 和 Cisco IOS 相似 的 界面 。 
IOS 的 CLI 主要 有 以 下 特征 。 


CLI 模式 

多 数 通 信 设 备 的 CLI 都 有 不 同 的 模式 ， 有 的 模式 只 能 使 用 特定 
的 命令 用 于 管理 ， 有 的 模式 专门 用 于 设置 工作 ， 等 等 。 每 个 模 
式 都 需要 密码 认证 ， 因 而 非 指定 用 户 无 法 看 到 显示 信息 或 更 改 
设置 。 


Cisco IOS 路 由 器 中 使 用 的 模式 如 表 3-37 所 示 
表 3-37 Cisco IOS 路 由 器 的 模式 类 型 


模 
式 




















帮助 


说 明 








只 能 使 用 ping、show 等 命令 表示 路 由 器 的 状态 信息 。 使 用 “>” 作 为 提 
示 符 


包括 了 设置 和 调试 路 由 器 ， 可 以 使 用 所 有 命令 。 在 用 户 模 式 下 输 
入 “enable” 命 令 切 换 ， 从 特权 模式 回 到 用 户 模 式 则 输入 “disable” 命 令 


Router>enable 











Router#( 转 入 特权 模式 ) 


Router#disable 











Router> 〈 转 入 用 户 模式 ) 











以 路 由 器 整体 框架 为 单位 进 和 ee 的 模式 。 在 特权 模式 下 输 
入 “configureterminal” 命 令 进 入 ， 返 回 特权 模式 时 则 输入 “exit* 命 令 





Router>enable 


Router#configure terminal 





Router (config) #( 转 入 全 局 配置 模 























Router (config) #exit 


Router#( 转 入 特权 模式 ) 


以 路 由 器 网 络 接 口 和 协议 为 单位 ， 在 为 路 由 器 的 某 些 功 能 进行 单独 
设置 时 使 用 的 模式 。 例 如 ， 如 果 想 对 网 络 接口 进行 单独 设置 ， 就 在 
全 局 配置 模式 下 输入 “interface”* 命 令 ， 返 回 全 局 配置 模式 则 输 


“end” 命 命令 











Router (config) #interface FastEthernet 6/1 
Router (config-if)# 
Router (config-if) #end 


Routert# 





输入 命令 关键 字 时 在 后 面 加 上 "“?"， 设 备 就 会 显示 出 该 命令 后 
续 构成 的 帮助 信息 。 如 果 在 命令 关键 字 中 和 输入 <?*， 设 备 则 会 
显示 出 以 该 字符 开始 的 命令 一 览 表 。 在 命令 关键 字 后 输入 空格 
再 加 上 “?"， 设 备 会 提示 下 一 个 命令 关键 字 信息 。 

例 ) 输入 copy 命令 关键 字 后 ， 再 输入 空格 和 *“?”， 设 备 显示 出 


下 一 个 命令 的 关键 字 信 息 ， 用 户 就 可 以 明日 接 下 来 该 输入 的 是 
running-confiig，startup-config 和 SRING (任意 文件 名 ) 。 








#copy ? 

running-config Copy running configuration file 

startup-config Backup the startup-config to a specified destinati 
STRING Source file 


#copy running-config ? 





快捷 键 


为 了 快速 输入 CLI 命令 信息 ，CLI 一 般 会 支持 表 3-38 列 出 的 
其 中 关键 字 补 全 的 Tab 键 是 快捷 键 中 最 常 使 用 的 一 


表 3-38 ”快捷 键 的 种 类 


说 明 快捷 键 
光标 右 移 1 个 字符 Ctrl+F 或 ~ 
光标 左 移 1 个 字符 Ctrl+B 或 ~ 
光标 右 移 〈 前 移 ) 一 个 单词 Esc+F 


光标 左 移 〈 后 移 ) 一 个 单词 Esc+B 

















NN 
NN 





ee 
出 除 光标 位 置 上 的 字符 


删除 从 光标 开始 至 字符 串 末 尾 的 所 有 字符 
































删除 光标 前 的 字符 Ctrl+H 或 
backspace 


出 除 从 光标 位 置 开始 至 行 末尾 的 所 有 字符 
出 除 光标 至 行 首 的 所 有 字符 
除 光 标 左 侧 一 个 字符 串 的 所 有 字 和 















































调 出 最 后 一 次 删除 的 项 目 


补 全 单词 〈 仅 在 候选 


sa 
补 全 音 记 ( 仅 在 候选 单词 数量 为 1 时 补 全 ， 和 tab 相 









































键盘 上 的 1 或 Ctrl+P 键 能 够 调 出 当前 命令 前 一 次 使 用 的 历史 命 
令 。! 或 Ctrl+N 能 调 出 当前 命令 下 一 条 使 用 的 历史 命令 。 使 
用 “show history” 命 令 能 够 列 出 所 有 缓存 下 来 的 历史 命令 清单 。 


03.09.03 ”保存 设置 的 方法 
使 用 保存 命令 的 方式 


在 Cisco IOS 中 通过 命令 更 改 路 由 器 设置 后 ， 这 个 更 改 会 立刻 
在 路 由 器 上 体现 ， 并 以 running-config 的 形式 保存 在 RAM 

中 。 当 因 切 断 电 源 等 原因 重新 局 动 时 ，RAM 中 的 信息 全 部 丢 
失 ， 路 由 器 则 加 载 保存 于 NVRAM 中 的 startup-config。 因 此 在 
保存 路 由 器 的 当前 设置 时 ， 还 要 通过 下 面 的 保存 命令 (save 
command) 完成 从 running-config 到 startup-config 的 找 贝 。 


Router#copy running-config startup-config 





以 前 大 多 数 通信 设备 均 使 用 该 方式 操作 。 但 由 于 输入 命令 后 变 
SR 因此 当 输 入 了 错误 命令 的 时 候 ， 就 会 
生 问 题 。 


使 用 提交 方式 (commit) 





Juniper 公司 的 JUNOS 和 Palo Alto Networks 公司 〈 以 下 简称 
Palo Alto 公司 ) 的 PAN-OS 使 用 了 称 为 提交 《〈commit) 的 保 
存 方式 。 当 管理 员 通 过 命令 行 修改 设置 时 ， 修 改 信息 只 保存 于 
candidate config 中 ， 而 不 体现 在 路 由 器 上 。 当 输入 “commit” 命 
令 时 ，candidate config 中 的 内 容 才 会 体现 在 路 由 器 中 ， 同 时 该 
设置 信息 的 保存 形式 也 变 成 active config (Crunning-config) 。 
与 startup-config 一 样 ，active config 也 是 在 设备 重 局 时 可 被 加 
载 的 config。 


在 提交 方式 中 ， 即 使 设置 到 一 半 发 现 出 错 了 ， 也 可 以 在 设置 正 
式 生 效 、 路 由 器 的 运行 改变 之 前 进行 修改 。 另 外 ， 因 为 该 方式 
可 以 管理 之 前 50 次 甚至 100 次 的 提交 设置 记录 ， 因 此 还 能 够 
简单 地 还 原 之 前 的 设置 。 


03.09.04 ”恢复 出 三 设置 的 重 置 方法 
路 由 器 或 其 他 网 络 硬件 一 般 都 会 提供 恢复 到 出 厂 设 置 的 功能 。 
当 管 理 员 息 记 已 经 更 改 的 密码 或 想 要 彻底 改变 设备 用 途 而 进行 
初始 化 时 ， 都 需要 使 用 恢复 出 三 设置 的 功能 。 
Cisco IOS 中 可 以 通过 下 面 的 方式 恢复 出 三 设 置 。 

全 局 配置 模式 下 ， 使 用 “config-register 0x2102” 命 令 
1. 检查 路 由 器 配置 寄存 器 ， 即 输出 show version 命令 后 的 最 后 
一 行 。 如 果 寄 存 器 不 是 0x2102， 则 在 全 局 模式 下 输入 config- 


register 0x2102 命令 。 


























router# configure terminal 

router (config) # config-register 6Xx2162 
router (config) # end 

routert#t 





2. 使 用 write erase 命令 ， 有 删除 路 由 器 启动 配置 信息 。 





3. 使 用 reload 命令 重 置 路 由 器 ， 且 不 保存 当前 设置 。 


router#reload 
System configuration has been modified. Save? [yes/no]: n 
Proceed with reload? [confirm] 








4. 路 由 器 重 置 后 ， 会 显示 System Configuration 对 话 提示 ， 路 
由 器 设 定 已 恢复 为 出 三 默认 设置 。 


--- System Configuration Dialog --- 
Would you like to enter the initial configuration dialog? [yes/no 





第 4 音 理解 3 交换 机 的 性 能 
与 功能 
本 章 将 集中 介绍 L3 交换 机 和 多 层 交 换 机 的 历史 、 种 类 、 


功能 、 架 构 等 相关 信息 ， 帮 助 读者 理解 路 由 器 与 L3 交换 
机 的 不 同 。 








04.01 何 为 L3 交换 机 


L3 交换 机 是 一 种 在 L2 交换 机 的 基础 上 增加 了 路 由 选择 功能 的 
网 络 硬件 ， 能 够 通过 基于 ASIC 和 FPGA 的 硬件 处 理 高 速 实现 
网 络 功能 和 转发 分 组 。 


L2 是 指 OSI 参考 模型 中 的 L2， 也 就 是 数据 链 路 层 。L2 交换 机 
能 够 基于 该 层 主要 编 址 的 MAC 地址， 进行 数据 帧 或 

VLAN (Virtual Lan) 的 传输 工作 。L3 交换 机 能 够 基于 位 于 网 
络 层 〈L3) 的 卫 首 部 信息 ， 实 现 路 由 选择 以 及 分 组 过 滤 等 功 


全 已 
月 上 。 


L2 交换 机 可 以 通过 使 用 VLAN 分 割 广播 域 ， 但 终端 之 间 的 数 

据 帧 交换 必须 位 于 同一 VLAN 范围 内 。 对 位 于 不 同 VLAN 上 

的 终端 如 有 通信 需求 时 ， 则 必须 使 用 路 由 功能 ， 因 此 需要 在 网 
络 上 额外 添加 路 由 右 (图 4-1) 。 


L2 交换 机 与 路 由 器 相 组 合 才能 完成 跨 VLAN 的 通信 ， 但 使 用 
L3 交换 机 则 无 需 其 他 硬件 设备 ， 能 够 直接 完成 YLAN 配置 和 
VLAN 之 间 的 通信 过 程 。 








| VLAN 之 间 的 通信 需要 借助 路 由 器 完 
使 用 VLAN 能 够 分 割 广 播 域 成 路 由 选择 功能 方 能 进行 





VLANI VLAN2 


图 4-1 L2 交换 机 使 用 VLAN 时 的 概念 图 


1 台 L3 交 换 机 就 能 够 
完成 VLAN 路 由 





图 4-2 L3 交换 机 使 用 VLAN 时 的 概念 图 


现在 ， 越 来 越 多 组 织 的 内 部 网 络 核心 交换 机 采用 L3 交换 机 。 
L3 交换 机 多 用 于 在 由 以 太 网 构筑 的 Intranet 内 部 转发 分 组 ， 而 
路 由 器 则 大 多 作为 连接 互联 网 和 Intranet 内 网 之 间 的 网 关 来 使 
用 。 


04.01.01 LL3 交换 机 与 路 由 器 的 不 同 


早期 的 L3 交换 机 有 些 产品 文 持 非 以 太 网 的 数据 链 路 层 协议 ， 
如 FDDI 和 令 牌 环 等 ， 也 支持 非 IP 网 络 的 网 络 层 协 议 ， 如 IPX 
和 AppleTalk 等 。 但 是 现在 市 场 上 主流 的 L3 交换 机 产品 一 般 
仅 支 持 以 太 网 的 数据 链 路 层 协议 和 IP 网 络 的 网 络 层 协议 。 


路 由 器 的 物理 层 以 及 数据 链 路 层 除了 IEEE 802 标准 以 外 ， 还 
需 支持 其 他 各 种 协议 ， 其 中 包括 ATM、 帧 中 继 、SDH、 串 口 
等 。 网 络 层 和 传输 层 也 同样 需要 文 持 TCP/P 协议 簇 以 外 的 协 
议 复 ， 如 IPX、AppleTalk 等 。 这 些 处 理 一 般 都 由 运行 在 CPU 
上 的 软件 来 完成 ， 与 L3 交换 机 相 比 ， 速 度 会 慢 不 少 ， 但 类 似 
远程 接 入 、 安 全 功能 这 样 必须 由 路 由 器 CPU 来 处 理 的 功能 也 
很 多 ( 表 4-1) 。 中 端 以 上 级 别 的 路 由 器 大 多 数 采 用 网 络 处 理 
器 (参考 01.06.04 节 ) 高 速 进行 数据 链 路 层 以 下 的 处 理 。 


另外 ， 低 问 路 由 怖 产品 中 大 多 数 只 文 持 以 太 网 和 卫 网 络 协 
议 。 


表 4-1 L3 交换 机 同 路 由 器 的 比较 














L3 交换 机 路 由 器 


本 机 框 式 桌面 式 、 箱 式 、 机 框 式 









































到 清册 全 | 基于 AsIC 的 硬件 处 理 基于 CPU 的 软件 处 理 


线 速 (wire rate) 注 1 处理 比 工 3 交换 机 速度 慢 









































以 太 网 (RJ-45、 光 收发 
器 ) 、 串 口 、ISDN、 
ATM、SDH 等 


STP/RSTP、LAN 
高 |tracking、IEEE 802.1X、 
私有 VLAN、 堆 闭 等 














注 1: 线 速 (wire rate) 的 相关 内 容 请 参考 第 7 章 。L3 交换 机 在 干 光 以 太 网 时 单 癌 
传输 速率 能 够 达到 1Gbits， 而 路 由 器 无 法 达到 1Gbit/s。 











注 2 : 根据 机 型 不 同 ， 有 些 产品 能 够 通过 添加 模块 来 扩展 支持 功能 。 
L3 交换 机 的 淋 构 


L3 交换 机 的 构成 有 要素 如 图 4-3 以 及 表 4-2 所 未 ， 高 端 路 由 器 和 
防火 墙 也 使 用 同样 的 染 构 。 传 统 路 由 费 的 路 由 选择 功能 、 分 组 
转发 以 及 管理 功能 等 均 由 CPU 人 处理， 管理 功能 负载 的 增加 ， 
就 会 市 来 分 组 转发 能 力 的 下 降 。L3 交换 机 改善 了 这 一 缺点 ， 
将 硬件 设备 内 部 分 离 成 两 个 区 域 ， 即 以 路 由 选择 、 管 理 功 能 为 
主 的 控制 平面 和 以 数据 转发 功能 为 主 的 数据 平面 ， 从 而 实现 了 
能 够 高 速 转发 分 组 的 系统 架构 。 








控制 平 
( 通用 CPU、 内 不、 0 IOS ) 


数据 平面 
(ASIC、TCAM ) 





图 4-3 L3 交换 机 的 结构 
表 4-2 L3 交换 机 的 硬件 构成 












































制 | 通过 基于 CPU 的 软件 处 理 进 行 硬件 整体 控制 。 负 责 操作 系统 管理 、 
| 理 员 用 户 界 面 、 路 由 选择 协议 处 理 等 工作 























数 | 通过 基于 ASIC、FPGA、 网 络 处 理 器 的 硬件 处 理 来 进行 实际 的 数据 传 
输 。 在 L2 上 完成 MAC 数 据 帧 传输 (桥接 ) 、 在 L3 上 完成 IP 分 组 传输 
E (路 由 选择 ) 。 在 传输 时 也 会 进行 必要 的 访问 控制 列表 和 QoS 相 关 的 















































处 理 
完成 物理 接口 之 间 的 数据 传输 。 背 板 存在 下 面 几 种 方式 〈 具 体内 容 参 
考 03.08 节 ) 


总 | 在 机 框 内 部 使 用 1 根 总 线 〈 数 据 传输 线路 ) 。 在 
线 方式 | 总 线 上 一 次 只 能 通过 1 个 数据 帧 


在 共享 内 存 中 存储 接收 到 的 数据 帧 ， 然 后 在 发 
送 接口 处 读 取 数 据 帧 并 转发 


在 多 个 呈 网 状 的 总 线 上 同时 完成 数据 的 传输 


























机 框 内 连接 各 线 卡 《〈 刀 请 设备 ) 的 以 太 网 标准 





标准 表述 、 速 度 


1000BASE-KX (1Gbit/s) 
IEEE 802.3ap 10GBASE-KX4 (10Gbit/s) 
10GBASE-KR (10Gbit/s) 


IEEE 802.3ba 40GBASE-KR4 (40Gbit/s) 















































里 | 与 其 他 硬件 之 间 进 行 数据 帧 收发 。 在 L3 交 换 机 中 使 用 RJ-45 或 光 收 发 
器 (SFP 等 ) 接头 








当 硬 件 内 部 结构 分 为 控制 平面 和 数据 平面 时 ， 分 组 的 传输 需要 
利用 FIB《〈 转 发 信息 库 ) 与 邻接 表 的 信息 〈 表 4-3) 。 在 Cisco 
IOS 中 这 种 利用 转发 信息 库 和 邻接 表 信 息 的 卫 分 组 传输 方式 
叫做 CEF (Cisco Express Forwarding，Cisco 特快 转发 ) 。 


表 4-3 ”控制 平面 与 数据 平面 上 传输 的 信息 








Borwardina | 基于 控制 平面 上 路 由 选择 表 的 信息 在 数据 平面 上 生成 的 、 
8 | 由 当前 有 效 的 目的 地 子 网 、 下 一 跳 、 输 出 接口 的 组 合 等 信 


Information 自 要 屿 
2 项 
Base) 构成 的 表 马 



























































邻接 表 基于 控制 平面 上 ARP 表 的 信息 在 数据 平面 上 生成 的 、 由 当 


人 前 有 效 目 的 地 主机 和 输出 接口 对 等 信息 构成 的 表 项 











路 由 器 使 用 CPU 完成 分 组 转 及 ， 而 L3 交换 机 使 用 ASIC 代替 
CPU， 分 组 的 转发 更 为 高 速 (图 4-4) 。 


中 在 输入 端口 处 接收 分 组 


的 路 由 选择 表 信 
息 决 定 输出 端口 













@ 根据 内 存 上 存储 的 路 由 选择 表 信 
息 决 定 输出 端口 








每 块 线 卡 与 交换 结构 之 间 的 总 线 带宽 之 和 
即 为 背 板 的 带宽 











4 转发 至 配 有 输出 端口 
的 线 卡 上 






3) 修改 L2/L3 首 部 ， 输 出 至 交换 
中 


结 






在 线 卡 上 检索 路 由 表 或 修改 IP 分 组 信息 每 块 线 卡 与 交换 结构 之 间 的 总 线 带 宽 之 和 
即 为 背 板 的 带宽 


图 4-4 箱 式 和 机 框 式 L3 交换 机 的 架构 


L3 交换 机 将 转发 信息 库 和 邻接 表 整 合成 1 份 表 项 。 该 表 称 为 
FDB (Forwarding Database， 转 发 数据 库 ) 或 L3 表 ， 注 册 于 内 





存 中 并 通过 硬件 处 理 完 成 高 速 检 索 。《〈 图 4-5) 






192.168.1.0/24 |192.168.1.124 | 1 | 
1011024 lioiiW24 | 1 | 






















目的 地 M 主机 
00:11:22:aa:bb:ce 
00:11:22:bb:cc:dd 
00:11:22:ccidd'ee 
00:11:22:dd:ee 半 






00:01:23:11:22:33 | 20 | 
00:01:23:11:22:33 | 20 | 







192.168.1.1/24 |00:01:23:1122:33 | 10 | 
10.1.1.1/24 00:01:23:11:22;33 | 20 | 










L3 交 换 机 MAC: 00:11:22:cc:dd:ee 


1P: 10.1.1.100 





会 00.0123:11:22:33 


192.168.1.1 





MAC: 00:11:22:dd:ee:ff 
IP: 10.1.1.101 


MAC: 00:11:22;:aa:bb:cc 
IP: 192.168.1.4 
MAC: 00:11:22:bb:cc:dd 
IP: 192.168.1.5 


图 4-5 L3 表 的 概念 










转发 至 各 个 目的 地 的 第 一 个 分 组 通过 软件 
处 理 检 索 输 出 端口 ， 并 将 检索 结果 写 入 
L2/L3 转 发 表 中 









第 2 个 分 组 之 后 ， 目 的 ， 
地 交 由 ASIC 检 索 


>- ------------------- 一 一 ----------------------- 一 --- 一 
1 


!! | 
QoS 管 理 、 访 问 控制 列表 、L4 处 理 | | 
本 


分 组 处 理 单元 
















[00:01:23:11:22:33 | 10 | 
000123:112233 | 10 | 
20 








00:11:22:aa:bb:ce 
00:11:22:bb:cc:dd 
00:11:22:cc:dd:ee 
00:11:22:0d:ee:ff 








| 
! 
1 
| | 
| 
| 
i} |10GbE | | 1GbE | liooMpis! | 
| PHY | | PHY | | PHY | | 
' | ! 
| | 
: | 


由 选择 ASIC ( 硬件 ) 处 理 





一 有 


图 4-6 L3 交换 机 的 内 部 处 理 示 例 





04.01.02 ”多 层 交 换 


除 L2 交换 机 之 外 ， 拥 有 L3 以 上 功能 的 交换 机 统称 为 多 层 交 
换 机 或 高 层 交 换 机 。 


拥有 IP 路 由 选择 等 网 络 层 功能 的 L3 交换 机 几乎 都 能 够 通过 访 
问 控制 列表 来 对 传输 层 (L4) 的 TCP 端口 编号 进行 访问 控 
人 
ls 


这 类 能 够 文 持 到 TCP 层级 访问 控制 的 交换 机 称 为 站 4 交换 机 。 
甚至 有 些 产品 能 够 基于 HTTP 和 HTTPS 这 类 应 用 层 (L7) 参 
数 进 行 负载 均衡 (Load Balancing) 等 操作 ， 这 类 产品 可 以 称 
为 L7 交换 机 。 有 些 厂 商 将 处 理 到 该 层 的 产品 与 之 前 的 路 由 器 
区 分 开 来 ， 作 为 不 同类 型 的 产品 进行 销售 。 但 所 谓 的 多 层 交 换 
机 ， 也 就 是 通过 基于 ASIC 或 FPGA 的 硬件 处 理 ， 来 高 速 进行 
各 层 相 关 业 务 处 理 的 网 络 人 硬件 。 


多 层 交 换 机 与 传统 路 由 器 的 不 同 之 处 也 可 参考 表 4-1。 

负载 均衡 需 

从 多 个 客户 端 同时 连接 到 1 台 服 务 絮 可 能 会 导致 服务 占 的 处 理 
能 力 超过 负载 。 这 时 ， 如 果 准 备 了 多 台 拥 有 相同 内 容 或 提供 相 
同 服 务 的 服务 器 ， 通 过 使 用 负载 均衡 器 (load balancer) ,器 
可 以 将 来 自 客 户 端的 请 求 分 散 到 各 个 服务 需 进 行 处 理 。 

负载 均衡 器 可 以 是 专用 设备 ， 也 可 以 是 在 通用 服务 器 上 运行 的 
和 
儿 的 一 种 。 


另外 ， 也 存在 拥有 分 组 负载 均衡 功能 的 路 由 露 。 











专用 设备 的 负载 均衡 希 示 例 





图 4-8 ”精工 精密 (SEIKO PRECISION) 公司 的 NetWiser 
系列 





图 4-9 A10 Networks 公司 的 AX 系列 








图 4-10 ”Radware 公司 的 Alteon 系列 1 


| 该 产品 线 收购 自 北 电网 络 。 一 一 译 者 注 





负载 均衡 器 一 般 会 被 分 配 虚拟 IP 地 址 ， 所 有 来 自 客户 端的 请 
求 都 是 针对 虚拟 IP 地 址 完成 的 (图 4-11) 。 人 负载 均 衡 占 通过 
人 


6880 5 0 
性 。 


表 4-4 ”负载 群 衡 占 的 作用 














在 服务 器 群 〈 即 虚拟 服务 器 ) 处 理 能 力 不 足 时 ， 负 载 均衡 器 能 够 随时 
“| 添加 1 人 台 物 理 服 务 器 。 由 于 客户 端 访 问 的 是 虚拟 了 地 址 ， 因 此 虚拟 服 
务 册 性 能 的 提高 是 显而易见 的 











即使 服务 器 群 中 某 台 服务 器 发 生 了 故障 ， 虚 拟 服务 器 也 会 继续 提供 服 
务 ， 以 确保 其 他 服务 器 能 够 继续 不 间断 地 处 理 业 务 。 同 理 ， 当 服务 器 
A 



































| 客户 端 向 虚拟 服务 器 | 
| 发 送 请 求 


J 










| 虚拟 服务 器 








We ee ew ee 


用 户 ( 客户 端 ) 


| 根据 实际 情况 ， 
| 客户 端 请 求 


3 


图 4-11 使 用 负载 均衡 器 时 的 流程 


负载 均衡 器 不 仅 适用 于 服务 上 器， 防火 增 或 代理 服务 器 这 种 仅 徘 


1 台 设 备 就 会 性 能 十 分 差 的 安全 设备 也 可 以 使 用 负载 均衡 占 。 


表 4-5 举例 说 明了 人 负载 均衡 器 将 来 自 客 户 并 的 请 求 分 散 至 服务 


费时 使 用 的 负载 均衡 算法 。 


表 4-5 负载 均衡 算法 的 示例 


算法 名 称 


假如 有 3 台 服 务 器 ， 则 以 1 -2533-51-23o1...... 的 顺序 
进行 负载 均衡 分 散 的 算法 。 当 服务 器 群 中 各 服务 器 的 处 理 
能 力 相 同 ， 且 每 笔 业 务 处 理 量 差 异 不 大 时 ， 最 适合 使 用 该 
算法 。 该 算法 中 的 DNS 轮 询 ， 在 1 个 域名 内 分 配 了 多 个 IP 
地 址 ， 即 使 不 使 用 负载 均衡 器 也 能 够 完成 服务 器 之 间 的 负 





载 均衡 


















































最 少 连 接 在 多 个 服务 器 中 ， 与 处 到 





连接 数 〈 会 话 数 ) 最 少 的 服务 器 


和 进行 通信 的 算法 。 即 使 在 每 台 服 务 器 处 理 能 力 各 不 相同 ， 
每 笔 业 务 处 理 量 也 不 相同 的 情况 下 ， 也 能 够 在 一 定 程度 上 


Connections ) 降低 服务 器 的 负载 











加 权 轮 询 为 轮 询 中 的 每 台 服 务 器 附加 一 定 权 重 的 算法 。 例 如 ， 为 服 
Ceiahted 务 器 1 附加 权重 1， 服 务 器 2 附加 权重 2， 服 务 器 3 附加 权重 

3， 则 以 1 2 -23 33 1 2、2 3 33 1 
人 
情况 












































人 i 
i 人 事先 为 每 台 服 务 器 分 配 处 理 连 接 的 数量 ， 并 将 客户 端 请 求 
转 至 连接 数 最 少 的 服务 器 上 


Connections ) 









































通过 管理 发 送 方 IP 和 目的 地 IP 地 址 的 散 列 ， 将 来 自 同 一 发 
六 Re | 

和 一 个 服 务 器 反复 通信 时， 该 算法 和 能 以 流 《 会 0 

» 保证 来 和 相同 客户 端的 通信 能 直 在 同一 服务 器 中 

行 处 理 








































































































通过 管理 客户 端 请 求 UREL 信 息 的 散 列 ， 将 发 送 至 相同 URL 
的 请 求 转 发 至 同一 服务 器 的 算法 

















SSL 加 速 


SSL 加 速 (SSL Acceleration) 是 负载 均衡 器 专用 设备 提供 的 功 
能 之 一 ， 执 行 该 功能 的 设备 内 部 装置 称 为 SSL 加 速 嚣 


在 服务 器 进行 SSL 通信 时 ， 对 通信 终 痛 之 间 传 输 的 数据 进行 
加 密 解 密 的 操作 需要 执行 相当 复杂 的 计算 ， 这 会 导致 服务 器 
CPU 的 处 理 负 载 进 一 步 加 大 。 而 与 不 执行 加 密 解 密 的 HITP 通 
信 相 比 ，HTTPS 的 处 理 负 载 是 前 者 的 10 倍 。 


这 时 ， 通 过 使 用 SSL 加 速 器 对 来 自 客 户 端的 HITPS 请 求解 
密 ， 将 其 转换 为 HITP 请 求 后 再 转发 至 实际 的 服务 器 上 ， 这 样 
就 可 以 降低 服务 器 CPU 的 处 理 负载 (图 4-12) 。 


这 样 一 来 ， 整 个 系统 在 提高 服务 器 响应 速度 的 同时 还 能 减少 必 
备 服务 器 的 数量 ， 在 单位 时 间 内 能 够 转发 更 多 Web 服务 内 











图 4-12 SSL 加 速 


04.02 LL3 交换 机 是 如 何 诞生 的 


正如 03.02 节 所 述 ， 早 期 的 路 由 器 文 持 ATM、 帧 中 继 、 串 行 
传输 等 各 类 数据 链 路 层 (L2) 的 通信 功能 ， 而 且 在 网 络 层 

(L3) 中 同样 支持 卫 网 络 之 外 的 IPX、AppleTalk 等 网 络 层 协 
议 艇 。 这 些 协议 均 是 通过 基于 CPU 的 软件 处 理 来 实现 的 ， 但 
是 随 着 网 络 通信 流量 的 增加 ， 出 现 了 更 高 速 的 网 络 处 理 需 求 。 


在 这 样 的 背景 下 ， 各 个 厂商 开发 了 在 使 用 ASIC 完成 高 速 数据 
帧 处 理 的 L2 交换 机 基础 上 ， 同 样 支持 IP 路 由 选择 等 L3 功能 
的 L3 交换 机 。 


1990 年 ， 美 国 Kalpana 公司 发 布 了 世界 上 第 一 台 L2 交换 机 
EtherSwitch。 随 后 ，1992 年 ，3Com 公司 为 了 缩减 设备 数量 与 
投资 成 本 ， 在 LANplex5000 交换 机 上 实现 了 路 由 选择 功能 

(这 时 的 路 由 选择 功能 还 是 基于 软件 处 理 的 ) 。 不 久之 后 ， 
3Com 公司 又 发 布 了 使 用 ASIC 实现 路 由 选择 的 CoreBuilder 系 
列 交 换 机 。 


1996 年 ，Extreme Networks 公司 和 Foundry Networks 公司 “ 相 
继 成 立 ， 并 成 为 上 3 交换 机 供应 商 。 不 久之 后 ， 思 科 公 司 等 传 

统 交 换 机 广 商 也 开始 发 布 文 持 新 功能 、 新 特性 的 产品 ， 逐 步 开 
台 渗 透 到 L3 交换 机 市 场 。 


“ 该 公司 已 被 博 科 通 i 


表 4-6 L3 交换 机 的 历史 




















译 者 注 

















IEEE 
1988 802.3a 〈10BASE2 ) 
RIP (RFC1058) 


IEEE 








1990 | Kalpana 公 司 发 售 EtherSwitch 交 换 机 产品 802.3i (10BASE-T) 


3Com 公 司 在 LANplex 5000 交 换 机 上 实现 路 ”|OSPF 版 本 
由 选择 功能 2 (RFC1247) 











沸 路 由 器 Cisco 7000 





IEEE 

802.3u (100BASE- 
思科 公司 发 布 Catalyst 5000 交 换 机 3 版 本 

4 (RFC1771) 

IPv6 (RFC1883) 


Foundry Networks 公 司 成 立 
Extreme Network 公 司 成 六 
Juniper Networks 公 司 成 立 


Foundry Networks 公 司 发 布 干 兆 以 太 网 交换 
机 Fastlron 和 L3 交 换 机 Netlron 

Extreme Network 公 司 发 布 干 兆 以 太 网 L3 交 换 
机 Summit1 

思科 公司 为 Catalyst 5000 系 列 交换 机 添加 L3 
功能 


IEEE 
802.3z (100BASE- 


从 司 改 ~T7 了 层 站 X) 
Foundry Networks 公 司 发 布 L4~L7 层 交换 机 RIP 版 本 


轩 杀 从 避 败 六 
思科 公司 发 布 L3 交 换 机 Catalyst 8500 系 列 2 (RFC2453) 


IEEE 
802.1Q (VLAN) 





思科 公司 发 售 Catalyst 6000 系 列 和 Catalyst IEEE 
6500 系 列 交 换 机 802.3ab (1000BASE- 
Force10 Networks 公 司 成 立 T) 











思科 公司 发 售 L3 交 换 机 Catalyst 2948G-L3 和 


su Catalyst 4908G-L3 


2001 | Foundry Networks 公 司 发 布 万 兆 以 太 网 模块 |MPLS (RFC3031) 
2002 | F5 Networks 公 司 成 立 四 是 


IEEE, 
802.3ae (10GBASE- 
R) 

2003 和 
802.1Q (VLAN) 修 
订 版 


日 立 制 作 所 和 日 本 电气 公司 的 合资 公司 
ALAXALA Networks 公 司 成 立 
2004 | Foundry Networks 公 司 发 布 L4~7 层 交换 机 








Serverlron 系 列 
A10 Networks 公 司 成 立 


IEEE 
2006 802.3an (10GBASE- 
T) 


Juniper Networks 公 司 发 布 以 太 网 交换 机 EX 系 
列 

博 科 通讯 系统 公司 〈Brocade) 收购 Foundry 
Networks 公 司 


2011 |Dell 公 司 收 购 Force10 Networks 公 司 


L3 交换 机 的 性 能 比较 

L3 交换 机 和 路 由 器 一 样 ， 以 pps 为 单位 描述 转发 性 能 〈 分 组 

处 理性 能 ) ， 而 且 和 L2 交换 机 一 样 ， 帧 处 理 能 力 以 最 大 交换 

容量 〈( 背 板 容 量 ) 为 指标 。 

表 4-7 总 结 了 各 个 厂商 LL3 交换 机 产品 的 最 大 交换 容量 
ET 


UDLD (RFC5171) 























Cisco Systems Catalyst 3750 
Brocade FCX 624 
Cisco Systems Catalyst 6500 
Brocade FastIron SX 1600 


Cisco Systems Nexus 7000 
ALAXALA Networks AX7816S 
Juniper Networks EX8216 
Brocade MLXe 








注 1: 数据 来 自 各 个 产品 的 规格 说 明 书 。 


04.03 L3 交换 机 的 分 类 


04.03.01 根据 形状 和 用 途 分 类 


和 2 交换 机 一 样 ，L3 交换 机 也 可 以 根据 形状 和 用 途 分 类 ， 详 
细 内 容 可 以 参考 02.06 节 。 


04.03.02 ”根据 性 能 分 类 


根据 L3 交换 机 的 背 板 容量 ，L3 交换 机 可 以 分 成 高 端 机 、 中 端 
机 和 低 端 机 。 


高 端 L3 交换 机 


机 框 式 L3 交换 机 由 路 由 引擎 、 交 换 结构 、 线 卡 模块 、 风 局 模 
块 和 电源 模块 这 几 个 模块 构成 ， 一 般 作为 企业 的 核心 交换 机 用 
于 数据 中 心 或 服务 供应 商 。 


为 了 提高 交换 机 的 可 靠 性 ， 除 了 线 卡 模块 之 外 ， 其 余 模块 均 提 
供 了 元 余 结 构 。 电 源 或 风 忆 模块 通 种 采用 1+N 或 N+N 见 余 结 
构 ， 路 由 引擎 则 通常 采用 1+1 的 元 余 结 构 3 。L3 交换 机 一 般 
通过 多 台 设 备 构成 VRRP 等 L3 宛 余 结构 ， 来 提高 整个 系统 的 
可 用 性 ， 但 使 用 单 台 交换 机 内 部 元 余 的 情况 也 很 多 。 


3 在 M+N 的 元 余 结构 中 ， 为 了 获得 M 台 设 备 的 性 能 ， 需 要 使 用 N 台 宛 余 系统 。 
例如 ， 为 了 获得 100W 电力 供应 ， 如 果 使 用 1+1 的 元 余 结 构 ， 则 需要 使 用 两 个 
100W 电源 模块 ， 即 使 其 中 一 个 模块 发 生 故 障 ， 另 外 一 个 也 能 保障 100W 的 电力 供 
应 ; 在 N+1 宛 余 结构 且 N=2 时 ， 就 需要 3 个 50W 电源 模块 ， 当 其 中 一 个 发 生 故 
障 时 ， 剩 余 两 个 模块 能 够 保障 100W 的 电源 供应 。 在 N+N 元 余 结 构 且 N=2 时 ， 
需要 使 用 4 个 50W 电源 模块 ， 每 两 块 成 对 使 用 ， 使 得 无 论 哪 个 电源 发 生 故 障 ， 都 
有 男 一 电源 模块 对 接 蔡 ， 从 而 保障 100W 电力 的 供应 。 




































































































































































该 类 型 L3 交换 机 的 价格 在 500~1000 万 日 元 左右 4 。 





4 例如 思科 公司 的 Catalyst 6500 系列 、Catalyst 4500 系列 以 及 Juniper Networks 公 
司 的 EX8200 系列 等 。 


表 4-8 列 出 了 主要 的 高 端 L3 交换 机 产品 信息 


表 4.8 各 公司 高 端 L3 交换 机 产品 的 性 能 比较 


Cisco Systems Juniper Networks 
Catalyst 6509 EX8216 


21RU 


16 


1.4Tbit/s 12.4Tbits 
最 大 8700W 最 大 15000W 
80Gbit/s 320Gbit/s 
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中 端 工 3 交换 机 


中 端 L3 交换 机 一 般 为 箱 式 交换 机 或 最 大 插 覃 数 为 4 的 机 框 式 
(模块 式 ) 交换 机 ， 用 于 将 企业 核心 交换 机 和 边缘 交换 机 进行 
汇聚 交换 ， 价 格 在 100 万 ~500 万 日 元 左右 ?。 


5 其 中 的 代表 有 思科 公司 的 Catalyst 4500 系列 、Catalyst 4900 系列 ，juniper 公司 的 
EX4500 系列 、EX4200 系列 ， 日 并 电线 公司 的 Apresia 15000 系列 、Apresia 13200 
系列 等 。 


表 4.9 各 公司 中 端 L3 交换 机 的 性 能 比较 


ISOG OVSters Juniper Networks EX4500 


Catalyst 4503 





机 |7RU 


























和 2RU 

[可 

度 
2 N/A 
64Gbit/s 480Gbit/s 
! 每 个 系 时 局 
0 (每 个 线 卡 可 用 最 大 1500W 的 最 大 364W 








96 48 





低 端 L3 交换 机 


低 端 L3 交换 机 一 般 为 箱 式 交换 机 或 桌面 式 交 换 机 ， 作 为 企业 
的 接 入 交换 机 (边缘 交换 机 ) 使 用 ，1RU 大 小 的 设备 支持 24 
端口 或 48 端口 。 有 些 产 品 作为 IP 电话 或 无 线 LAN 的 访问 接 
入 点 ， 还 能 直接 使 用 来 自 以 太 网 的 电源 供电 (PoE) 。 该 类 型 
L3 交换 机 价格 约 几 万 日 元 至 100 万 日 元 。 


表 4-10 各 公司 低 庙 3 交换 机 产品 的 性 能 比较 


Cisco Systems Catalyst 3750 Juniper Networks 
(WS-C3750G-48TS-E) EX2200-48P-4G 


1RU 


32Gbit/s 104Gbit/s 
91w〔 不 支持 PoE) 
160W 405W (支持 PoE ) 
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修 攻 





48 
的 N/A 





04.04 L3 交换 机 搭载 的 特殊 功能 
04.04.01 工 3 交换 机 功能 的 分 类 


尽管 各 制造 广 商 的 直 3 交换 机 产品 提供 了 的 功能 不 同 ， 但 这 些 
功能 大 致 可 以 分 为 如 表 4-11 所 示 的 儿 个 类 别 。 


表 4-11 L3 交换 机 的 功能 


OSI 参 | ,、y 
考 模型 | 分 关 





应 用 层 | 类、 SNMP 0 、Syslog、 DHCP、NetFlow、FTP、IEEE 
802.1X 寺 


























静态 路 由 、RIPvl/v2、OSPF、BGPv4、IS-IS、 多 播 路 由 
选择 、RIPng、OSPFv3、BGP4+、 基 于 策略 的 路 由 选择 
4 


= 于 





网 络 


层 、 传 oo | 可 802.1p、LLQ、WFQ、RED、Shaping、 带 宽 控 制 
等 


输 层 





IP 隧 道 |IPv4 over IPv6、IPv6 over IPv4 等 
其 他 


过 滤 、 负 载 均 衡 、VRRP 等 


端口 VLAN、IEEE802.1Q (tag VLAN) 、Protocol 
VLAN、 私 有 VLAN、Uplink-VLAN 等 


STP (IEEE 802.1D) 、RSTP (IEEE 802.1w) 、 
PVST+、MSTP (IEEE 802.1s) 等 

















STP、SNMP、RMON、NetFlow 等 相关 内 容 请 参考 本 书 02.08 
节 ，QoS 相关 内 容 请 参考 03.06 节 。 


在 L3 交换 机 中 ， 只 有 使 用 这 些 功能 对 分 组 进行 的 管理 是 由 
CPU (软件 ) 直接 处 理 的 。 用 户 之 间 的 通信 均 如 图 4-13 所 
示 ， 是 由 ASIC (人 硬件) 处 理 实 现 分 组 的 高 速 转发 的 。 





种 类 L3 交 换 机 > 

分 组 管理 < > 

BPDU (Bridge Protocol Data Unit) 2 >、 SS 
RIP/RIP2 (Routing Information Protoco)) pe SS 

OSPF (Open Shortest Path First) 4 ES_ 区 一 到 
DVMRP (Distance Vector Multicast Routing Protocol) < ASIC 之 -< ASIC >> 
PIM (Personal Information Manager) BD- NS> 





硬件 处 理 
种 类 
单 播 转 发 
多 播 转发 人 人、 八 、 
过 滤 处 理 < Asic 一 ASIC > 


队列 处 理 > 


端口 镜像 








图 4-13 使 用 ASIC 完成 高 速 分 组 转发 
04.04.02 VLAN 


由 1 台 或 者 多 台 交 换 集 线 絮 所 组 成 的 1 个 广播 域 可 以 称 为 是 一 
个 扁平 网 络 (flat network) 。 该 网 络 只 由 L2 组 成 ， 相 互 连 接 
的 硬件 会 接收 所 有 网 络 发 来 的 广播 帧 。 因此 ， 随 着 连接 人 硬件 数 
量 的 增加 ， 广 播 数 量 也 会 增加 ， 网 络 状 况 也 整 越 发 泥 林 。 


这 种 情况 下 就 需要 采用 能 够 将 整个 扁平 网 络 进行 逻辑 分 段 的 
VLAN (Virtual LAN) 技术 。 各 个 VLAN 均 使 用 同 1 个 广播 
域 ， 因 此 能 够 控制 该 域内 广播 通信 的 规模 。 (图 4-14) 


交换 机 通过 设置 〈configuration ) 能 够 轻易 更 改 物理 端口 的 属 
性 ， 使 该 物理 端口 附加 到 某 个 VLAN 之 中 ， 因 此 当 连 接 交 换 
机 的 用 户 终端 发 生变 化 时 ， 也 无 需 更 改 所 对 应 的 物理 配 线 。 


VLAN 之 间 的 通信 需要 使 用 路 由 选择 ， 不 借助 路 由 需 就 无 法 与 
不 同 VLAN 的 终端 进行 通信 ， 因 此 安全 性 也 有 了 保障 。 


VLAN 在 1998 年 的 IEEE 802.1Q 中 完成 了 标准 化 。 








基于 端口 的 VLAN 





基于 端口 的 VLAN (PortVLAN) 是 指 在 1 台 交 换 机 上 完成 
VLAN 构建 的 功能 。 


基于 端口 的 VLAN 是 在 交换 机 的 端口 上 设置 VLAN ID 信息 ， 
将 拥有 相同 VLAN ID 的 多 个 端口 构成 一 个 VLAN。 符 合 IEEE 
802.1Q 标准 的 交换 机 在 初始 状态 时 所 有 端口 默认 VLAN 
ID=1〈( 即 VLAN 1) ， 但 是 使 用 者 能 够 对 任意 一 个 端口 进行 
VLAN ID=2 的 设置 ， 从 而 使 该 端口 归属 VLAN 2。 


| 该 交换 机 内 有 
一 一 1 个 广播 域 | 





该 交换 机 内 有 人 、 
| 1 个 广播 域 ” 广 、1 





LAN A 


图 4-14 LAN 与 VLAN 的 比较 
标签 VLAN (IEEE 802.1Q) 


当 需 要 跨越 多 个 交换 机 创建 VLAN 时 ， 一 般 会 用 到 使 用 中 继 
端口 (trunk port) 的 标签 VLAN (tag VLAN) 。 标签 VLAN 
通过 中 继 端口 完成 以 太 网 数据 帧 的 收发 ， 其 中 以 太 网 数据 帧 上 
需 添 加 4 字 节 IEEE 802.1Q 所 定义 的 首部 〈 即 VLAN 标签 信 
上 息 ) 〈 图 4-15) 。 为 以 太 网 数据 帧 添加 标签 的 过 程 称 为 
tagging。 当 tagging 完成 后 ， 以 太 网 数据 帧 的 最 大 长 度 将 从 
1518 字 节 变 为 1522 字 节 ， 因 为 其 中 还 包含 了 12bit 的 VLAN 
ID 信息 ， 因 此 最 多 可 以 支持 的 VLAN 数 也 达到 了 4096 个 。 





( a ee 802. eh ) 
7 位 2 46 ~ 1500 


首部 SFD 一 -一 长 度 / | 数据 
地 址 类 型 





802. ee 
7 位 2 2 46 ~1500 4 


首部 SFD ET 地 址 HD 
地 址 





_ 3bit \ , . . 
被 添加 的 4 字 节 IEEE 802.1Q 首 


部 ( VLAN 标 签 信息 ) 


SFD:， Start Frame Delimiter ( 帧 首 定 界 符 ) TPID: Tag Protocol ldentifier ( 标签 协议 标识 ) 
TCL: Tag Control Information ( 标记 控制 信息 ) ” FCS: Frame Check Sequence ! 帧 校 验 序列 ) 


图 4-15 使 用 标签 VLAN 时 的 以 太 网 数据 帧 格式 


在 以 太 网 中 ，TPID 的 值 为 0x8100。 如 果 发 送 源 地 址 后 面 的 值 
不 是 0x8100， 那 么 该 域 则 不 表示 TPID 信息 ， 而 是 作为 “长 度 / 
类 型 ”数据 域 被 识别 。 顺 便 一 提 ， 当 “长 度 / 类 型 ”数据 域 的 值 在 
0x05DC (10 进 制 数 为 1500〉 以 下 时 ， 表 示 该 以 太 网 数据 帧 的 
长 度 ; 在 0x0600 以 上 时 ， 则 表示 该 以 太 网 数据 帧 的 类 型 。 表 
示 以 太 网 数据 帧 类 型 的 值 分 别 是 : IPv4 为 0x0800，ARP 为 
0x0806、IPV6 为 0x86DD 等 。 


一 些 不 支持 [EEE 802.1Q 的 交换 机 由 于 无 法 识别 TPID， 会 将 
0x8100 的 值 视 作 以 太 网 帧 类 型 ， 但 是 由 于 不 存在 0x8100 类 型 
的 数据 帧 ， 因 此 交换 机 会 将 其 作为 错误 帧 直接 丢弃 。 


IEEE802.1Q 标准 中 定义 的 首部 还 存在 
数据 域 可 以 进一步 分 成 3 个 子 数据 域 ( 表 4-12) 。 


表 4-12 TCI 数据 域 的 组 成 要 素 6 























| 6 最 新 标准 已 将 该 域 修 改 为 Drop Eligible Indicator (DED。 一 一 译 者 注 





PCP (Priority | 表示 在 IEEE 802.1Q 中 定义 的 数据 帧 优先 级 ， 最 低级 别 为 
Code Point ) 0 〈0b000) ， 最 高 级 别 为 7〈0b111 ) 


CPI (Canonical 标准 MAC 地 址 时 该 数据 域 的 值 为 0， 非 标准 MAC 地 址 时 
为 1。 在 以 太 网 中 ， 该 数据 域 的 值 多 为 0， 而 在 连接 令 牌 


1 环 网 络 的 安 所 机 中 ， 也 有 该 数据 域 值 为 1 时 接收 数据 的 情 
7 


表示 数据 帧 所 属 的 VLAN 编 号 。0 (0x000) 仅 用 于 识别 
VID (VLAN ”|PCP 中 表示 的 优先 级 ，4 而 095 (0xFFF〉 为 预 留 值 ， 因 此 
Identifier ) 用 户 可 用 的 数值 为 1 (0x001) ~4094 (0xFFE) ， 共 4094 

人 

| 





| 7 最 新 标准 已 将 该 域 修改 为 Drop Eligible Indicator (DEIT)。 一 一 译 者 注 








TS 接收 后 删除 VID 信 息 i 
VID=20 后 进行 转发 中 继 链 路 VLAN 数 据 由 





VLAN2、VLAN3、VLAN4 


图 4-17 跨越 多 个 交换 机 的 VLAN 


本 征 VLAN 


VLAN 编号 为 1 的 VLAN 通常 被 称 为 本 征 VLAN (Native 
VLAN) 或 管理 员 VLAN， 一 般 用 于 管理 VLAN， 也 作为 初始 
值 分 配给 交换 机 的 各 个 端口 。 本 征 VLAN 的 指定 或 变更 是 可 
以 自 定义 的 ， 但 基本 所 有 厂商 的 交换 机 都 默认 使 用 VLAN ID 
为 1 的 VLAN 作为 本 征 VLAN。 在 定义 新 VLAN 时 如 果 设 定 
VLAN ID=1， 则 有 可 能 会 发 生 同 预期 端口 无 法 通信 的 情况 ， 因 
此 最 好 使 用 2 以 上 的 数值 作为 新 建 VLAN 的 ID。 


中 继 端 口 


使 用 标签 VLAN 回 其 他 交换 机 传递 VLAN 编号 时 ， 首 先 需要 
设置 中 继 端 口 〈trunk port) 。 中 继 端 口 也 被 称 为 “ 附 帝 标签 的 
端口 >?， 能 够 属于 多 个 VLAN， 与 其 他 交换 机 进行 多 个 VLAN 
的 数据 帧 收发 通信 。 两 台 交 换 机 中 继 端 口 之 间 的 链 路 则 称 为 中 
继 链 路 (trunk link) 。 


与 中 继 端 口 和 中 继 链 路 相对 应 的 还 有 接 入 端口 (access port) 
和 接 入 链 路 (access link) 这 两 个 概念 。 接 入 端口 只 属于 工 个 
VLAN， 接 入 链 路 也 仅 传 输 1 个 VLAN 数据 帧 (图 4-18) 。 














使 用 接 入 链 路 在 交换 机 之 间 传 输 多 个 VLAN 数 据 的 方法 


VLAN10 
VLAN20 I 
pvEAN3o Wesss ess 





图 4-18 ”中 继 端 口 和 中 继 链 路 

协议 VLAN 

参考 以 太 网 数据 帧 首部 的 数据 帧 类 型 ， 基 于 网 络 层 的 各 个 协议 
来 定义 的 VLAN 称 为 协议 VLAN (ProtocolVLAN) 。 其 中 ， 


数据 帧 类 型 的 值 为 16bit，VLAN 能 够 识别 的 网 络 层 协议 有 
IP、IPX、AppleTalk 等 。 


目前 ， 网 络 层 的 通信 基本 都 使 用 IP 协议 ， 因 此 协议 VLAN 变 
得 没有 意义 ， 几 乎 已 不 再 使 用 了 。 


上 行 VLAN 


上 行 VLAN (Uplink VLAN) 是 由 ALAXALA 公司 的 交换 机 产 
品 提供 的 、 基 于 端口 VLAN 的 功能 之 一 (图 4-19) 。 


属于 VLAN 的 端口 可 以 分 为 上 行 端口 和 与 终端 相连 的 下 行 端 
口 ， 上 行 端口 之 间或 上 行 端 口 和 下 行 端口 之 间 可 以 进行 通信 ， 
但 下 行 端口 之 间 则 无 法 进行 通信 。 








ED : 





加 上 行 端口 记 ] 下 行 端口 


和 ) 自 上 行 端口 的 广播 分 组 转发 至 所 有 端口 
同上 行 端口 和 下 行 端口 之 间 可 以 进行 通信 
3) 下行 端口 之 间 无 法 进行 通信 


图 4-19 上 行 VLAN 的 分 组 流向 
私有 VLAN 


私有 VLAN (Private VLAN) 也 可 以 记 为 PVLAN， 是 指 在 
VLAN 内 部 再 构建 一 层 VLAN 的 功能 (图 4-20) ， 因 此 也 可 
以 称 为 多 层 VLAN。 


私有 VLAN 能 够 通过 进一步 分 割 广播 域 ( 子 网 ) ， 削 减 
VLAN 内 部 的 广播 通信 流量 并 保障 通信 的 安全 性 。 例 如 ， 在 酒 
店 、 公 寅 、 服 务 供应 商 等 场所 灵活 使 用 该 功能 ， 就 能 够 控制 服 
务 嚣 或 网 关 与 终端 的 连接 ， 使 不 同 终 六 之 间 无 法 相互 通信 。 





如 表 4-13 所 示 ， 私 有 VLAN 由 主 VLAN (Primary VLAN) 和 
从 VLAN (Secondary VLAN) 组 成 ， 从 VLAN 与 1 个 主 
VLAN 关联 。 


表 4-13 私有 VLAN 的 组 成 要 素 


主 VLAN (Primary 1 个 私有 VLAN 中 有 一 个 主 VLAN， 主 VLAN 
VLAN) 是 从 VLAN 的 父辈 VLAN 


隔离 VLAN ”| 从 分 配给 隔离 VLAN 的 交换 机 端口 上 经 过 的 
《 通信 流量 将 流向 主 VLAN， 而 从 VLAN 则 不 会 

















Isolated 六 局. 、 } \ | 
从 VLAN > 有 任何 流量 经 过 。 每 个 主 VLAN 可 以 指定 一 
(secondary 个 隔离 VLAN 


VIA WwW 
CCommunity 
VLAN) 














从 分 配给 群体 VLAN 的 交换 机 端口 上 经 过 的 
通信 流量 会 同时 流向 主 VLAN 和 群体 YLAN 














VLAN 的 物理 端口 可 以 设置 成 表 4-14 中 的 任何 一 个 
英 式 。 


表 4-14 使 用 私有 VLAN 的 物理 端口 模式 


混合 模式 与 路 由 器 等 网 关 相 连接 的 交换 机 端口 〈 上 行 端口 ) 使 用 的 
(Promiscuous | 模式。 该 模式 下 的 端口 能 够 与 私有 VLAN 内 的 任何 一 个 端 
Mode) 口 互通 。 混 合 (promiscuous) 就 是 “通信 对 方 任意 ”的 意思 




















主机 模式 
(Host 


隔离 VLAN 或 群体 VLAN 的 端口 使 用 的 模式 。 该 模式 下 的 
ee 端口 只 能 与 同一 群体 VLAN 内 的 端口 或 混合 模式 端口 互通 























主机 模式 





图 4-20 私有 VLAN 的 组 成 
静态 VLAN 和 动态 VLAN 


将 交换 机 的 端口 进行 VLAN 划分 的 过 程 称 为 “VLAN 成 员 划 
分 ” , 


管理 员 通 过 输入 交换 机 命令 ， 将 一 个 交换 机 端口 固定 分 配给 某 
个 VLAN， 这 种 VLAN 成 员 划 分 方式 称 为 静态 VLAN。 


与 之 相对 地 ， 根 据 与 端口 相连 的 个 人 计算 机 或 用 户 信息 自动 分 
配 并 口 至 某 个 VLAN 的 方式 则 称 为 动态 VLAN 或 者 认证 
VLAN。 有 具体 而 言 ， 就 是 交换 机 根据 终端 的 MAC 地 址 来 分 配 

(基于 MAC 地址 库 的 认证 ) ， 或 者 基于 IEEE 802.1X 的 认证 
来 决定 该 端口 属于 何 种 VLAN。 而 且 在 动态 VLAN 中 ， 网 络 
上 的 个 人 计算 机 无 论 与 哪 台 交换 机 相连 ， 都 能 固定 归属 于 同一 
VLAN (图 4-21) 。 


有 些 厂 商 通 过 交换 机 内 部 的 数据 库 来 实现 基于 MAC 地 址 的 认 
1 VLAN 的 实现 都 需要 使 用 RADIUS 
力 o 


关于 IEEE 802.1X 认证 的 详细 内 容 请 参考 02.08 节 。 



















认证 信息 
( 用 户 名 或 
MAC 地 址 ) ， 





oA 


当 认 证 失败 时 ， 也 可 以 
认证 完成 认证 完成 ”认证 中 未 认证 清流 生 特 注水 浪 访 


支持 不 支持 。 ”支持 支持 网络 的 六 AN 
802.1X 8021X 802.1X 802.1X a 


请 求 方 进行 受 限 的 VLAN 通 信 


认证 使 用 QP 认证 完成 后 的 I|EEE 802,1X 认 证 端口 ， 将 划分 至 特定 的 VLAN 中 
的 分 组 。 加) 认证 完成 后 的 基于 MAC 地 址 的 认证 端口 ， 将 划分 至 特定 的 VLAN 中 
4 一 普通 分 组 (3) 正在 认证 的 IEEE 802.1X 认 证 端口 ， 只 能 与 RADIUS 服务 器 进行 认证 通信 


PP 


4) 没有 通过 认证 的 、 基 于 MAC 地 址 的 认证 端口 ， 与 任何 一 个 端口 都 无 法 通信 
〇 不 进行 认证 的 端口 





图 4-21 动态 VLAN 与 端口 认证 
VIP 与 ISL 


VTP (VLAN Trunking Protocol，VLAN 中 继 协 议 ) 是 思科 公 
司 的 独 有 协议 ， 在 拥有 大 量 交 换 机 的 大 规模 网 络 中 ， 通 过 该 协 
议 各 交换 机 能 够 使 用 中 继 链 路 进行 VLAN 相关 信息 (“VTP 通 
告 ) 的 交互 ， 从 而 自动 完成 网 络 内 部 交换 机 中 VLAN 的 创 

建 、 删 除 和 更 新 等 工作 。 不 过 ， 仍 然 需要 手动 设置 接 入 端口 的 
VLAN 分 配 。 


另外 ， 思 科 公 司 还 研发 了 独 有 的 VLAN 识别 标识 ISL (Inter- 
Switch Link， 交 换 机 间 链 路 ) 。 该 标识 使 用 与 IEEE 802.1Q 中 
的 VLAN 标签 不 同 的 帧 格式 进行 VLAN 通信 数据 的 交互 ， 思 
科 公 司 的 交换 机 产品 Catalyst 1900 就 仅 支 持 ISL 而 不 支持 
IEEE 802.1Q。 








原 数 据 帧 


TYPE|IUSERISA |LEN | AAAA03| HSA |VLAN | BPDU |INDEX| RES 
(SNAP) 
24 


40bit 4 4 48 16 24 16 16 





图 4-22 ISL 数据 帧 
04.04.03” VLAN 环境 中 的 数据 流向 


假设 现在 主机 A 要 和 属于 同一 VLAN 的 主机 FF 通过 运行 ping 
命令 通信 。 


主机 A 的 用 户 在 命令 行 提示 符 处 输入 了 主机 FIP 地 址 或 主机 名 
(域名 ) 的 ping 命令 ， 如 果 输 入 的 是 主机 名 ， 则 需要 通过 
DNS 进行 主机 名 解析 ， 然 后 才能 获取 主机 了 下 的 了 王 地址 。 


由 于 主机 A 同 主机 了 位 于 同一 网 段 〈 相 同 广播 域 ) ， 因 此 主 
机 A 需要 知道 主机 了 的 MAC 地 址 ， 这 时 主机 A 会 向 主机 下 
发 送 ARP 请 求 的 广播 。 


交换 机 1 接收 到 来 自主 机 A 的 ARP 请 求 消 息 后 ， 在 MAC 地 
址 表 中 记录 下 主机 A 的 信息 ， 由 于 ARP 请 求 的 目的 地 MAC 
地 址 为 广播 地 址 ， 因 此 交换 机 1 会 向 除 接收 端口 之 外 的 所 有 端 
口 复 制 该 数据 帧 并 进行 扩散 (flooding) ， 但 在 VLAN 环境 
下 ， 只 有 和 主机 A 同属 一 个 VLAN 的 端口 会 被 扩散 到 。 


交换 机 2 接收 到 来 自主 机 A 的 ARP 请 求 后 ， 在 MAC 地 址 表 
中 记录 下 主机 A 的 信息 。 之 后 与 交换 机 1 一样 ， 交 换 机 2 也 
会 回 除 接收 端口 之 外 的 、 所 有 同属 一 个 VLAN 的 端口 复制 该 
数据 帧 并 进行 扩散 〈flooding) 。 


主机 下 接收 到 ARP 的 请 求 后 ， 回 主机 A 回复 ARP 的 啊 应 消 
息 。 这 时 交换 机 2 将 习 得 主机 下 的 MAC 地 址 信息 ， 因 为 之 前 
已 经 从 ARP 请 求 中 习 得 了 主机 A 的 MAC 地 址 信息 ， 因 此 
ARP 响应 消息 将 直接 转发 到 端口 1 处 。 





交换 机 1 接受 ARP 响应 消息 后 ， 也 从 中 习 得 主机 下 的 MAC 
地 址 ， 毕 合 判断 所 有 习 得 的 信息 后 将 MAC 地 址 信息 转发 至 交 
换 机 的 端口 1 处 。 


由 于 主机 A 已 经 知道 目的 地 的 MAC 地 址 ， 因 此 利用 该 地 址 信 
息 向 主机 下 发 送 ICMP echo 消息 。 








04.04.04 ” VLAN 之 间 的 路 由 选择 
L2 交换 机 


在 L2 交换 机 上 设置 了 多 个 VLAN 后 ， 单 台 交 换 机 就 无 法 在 不 
同 的 VLAN 之 间 转 发 以 太 网 数据 帧 。 


当 需 要 在 多 个 VLAN 之 间 转 发 数据 时 ， 一 般 会 使 用 中 继 链 路 
连接 路 由 器 ， 通 过 路 由 器 进行 VLAN 之 间 的 路 由 选择 。 


路 由 器 





二 L2 交 换 机 二 


PC1 PC2 
属于 VLAN10 属于 VLAN20 
图 4-23 L2 交换 机 上 VLAN 之 间 的 路 由 选择 
L3 交换 机 


L3 交换 机 能 够 在 交换 机 内 部 直接 完成 VLAN 之 间 的 路 由 选 


择 。 
UDLD 


UDLD (Uni-Directional Link Detection， 单 向 链 路 检测 ) 由 
RFC5171 文档 公布 ， 是 思科 公司 开发 的 L2 协议 ， 用 于 检测 在 
发 送 〈TX) 或 接收 (RX) 数据 时 线 统 发 生 的 单 同 链 路 故障 。 
由 于 传输 媒介 无 论 是 光纤 还 是 双 丝 线 ， 以 太 网 都 会 通过 接收 方 
和 发 送 方 两 边 的 物理 线 绕 来 传输 数据 ， 因 此 线 绕 发 生 某 种 故障 
造成 单 癌 链 路 的 可 能 性 很 大 。 


一 旦 发 生 单 问 链 路 故 隐 ， 无 论 端口 是 人 否 处 于 已 连接 的 状态 ， 都 
会 造成 通信 一 方 的 交换 机 只 能 发 送 数 据 而 不 能 接收 数据 ， 男 一 
方 则 只 能 接收 数据 而 不 能 发 送 数 据 的 状况 。 而 且 发 生 单 向 链 中 
故障 时 ， 生 成 树 也 无 法 正常 工作 ， 位 于 转发 线路 上 的 数据 帧 也 
会 被 丢弃 。 

交换 机 上 UDLD 生效 的 端口 如 果 根 据 UDLD 检测 出 了 链 路 发 
竺 的 早 癌 族 原 ， 克 楷 跑 及 时 天 团 测 口 ， 修 正 网 络 上 的 不 民运 行 


JU o 


发 生 故 障 
图 4-24 单 问 链 路 发 生 故 障 的 概念 图 


第 5 草 防火 墙 功能 与 防 施 威 
胁 的 对 宗 
本 章 将 介绍 防火 墙 和 安全 设备 的 历史 、 产 品类 型 、 功 能 


等 ， 帮 助 读 者 理解 安全 设备 性 能 的 考量 方法 与 相关 注意 事 
项 。 








另外 ， 本 章 还 会 介绍 TCP 连接 、UDP 等 传输 层 会 话 管 
理 ， 以 及 IPSec、 使 用 SSL 的 VPN 等 相关 内 容 。 


05.01 防火 墙 是 怎样 的 网 络 硬 件 


20 世纪 90 年 代 ， 随 着 互联 网 的 普及 ， 出 现 了 路 由 器 访问 控制 
列表 无 法 抵御 的 攻击 和 非法 访问 等 一 系列 威胁 ， 因 此 出 现 了 针 
对 这 些 威胁 的 防范 策略 需求 。1992 年 OECD1 组 织 发 布 了 “ 信 

恩 系 统 安全 指导 书 ”， 其 中 定义 了 为 构建 安全 网 络 体 系 而 需要 

遵循 的 CIA 基本 理念 。CIA 是 机 密 性 〈Confidentiality) 、 完 

整 性 (Integrity) 、 可 用 性 (Availability〉 三 个 英文 单词 的 首 

字母 组 合 ， 这 三 个 方面 的 主要 威胁 及 其 对 策 如 表 5-1 所 示 。 

















1 经 济 合作 与 发 展 组 织 ， 全 称 为 Organization for Economic Co-operation and 
Development。 译 者 注 








表 5-1 CIA 的 内 容 


对 策 使 | 对 策 实 











信息 的 机 密 性 是 指 只 允许 合法 用 户 访问 
相关 信息 。 确 保 信 息 的 机 密 性 即 保证 信 
县 不 被 泄露 ， 设 立 防止 非法 访问 等 保护 
对 策 



































处 理 正确 信息 ， 保 证 信息 的 完整 和 确 
切 ， 防 止 信息 被 算 改 























确保 合法 用 户 能 够 访问 授权 的 信息 。 需 
| 要 重视 服务 器 或 网 络 硬 件 的 运 维 ， 和 避免 
系统 出 现 当 机 问题 


























防火 墙 便 件 作为 防范 装置 能 够 同时 实现 CIA 中 3 个 条 目的 相 
应 对 策 。 在 20 世纪 90 年 代 中 期 ， 普 通 企业 一 般 都 会 在 网 天 
(LAN 与 互联 网 的 边界 ) 中 设置 防火 墙 。 


防火 墙 (Firewall ) 是 指 为 了 防止 发 生火 灾 时 ， 火 势 蔓延 至 建 
en 由 防火 材质 〈 主 要 是 石膏 板 ) 铸 成 
J 墙 (图 5-1) 。 






































图 5-1 防火 墙 示 意图 


将 自 外 而 内 的 网 络 入 侵 行为 看 作 火 灾 ， 那 么 防止 这 种 入 侵 的 对 
策 即 可 称 为 防火 墙 。 在 网 络 结构 图 中 经 常 也 使 用 “ 砖 墙 * 的 图 标 
来 表示 防火 墙 (图 5-2) 。 





图 5-2 Windows 中 防火 墙 的 图 标 





gg 


图 5-3 思科 公司 的 防火 墙 图标 


防火 墙 这 个 装置 原本 用 于 防范 外 部 网 络 ， 也 就 是 拥有 多 个 不 特 
定 用 户 的 公共 网 络 对 内 部 网 络 〈 企 业 的 Pntranet) 进行 的 DoS 
攻击 或 不 法 访问 (Hacking， 黑 客 行 为 )， 但 现在 也 开始 需要 
en 
等 行为 。 





05.02 防火墙 是 如 何 诞生 的 


现在 的 防火 墙 是 作为 专用 设备 出 现在 网 络 中 的 ， 但 最 初 的 防火 
首 则 出 现在 1985 年 左右 ， 米 用 分 组 过 小 技术 由 思科 公司 的 
IOS 软件 实现 ， 是 路 由 器 的 一 个 功能 。 


不 久之 后 ，DEC 公司 和 AT&T 的 贝尔 实验 室 开 始 了 防火 墙 的 
相关 研究 工作 。 当 时 DEC 公司 的 防火 墙 装置 是 将 配 有 两 个 接 
口 的 计算 机 同 外 部 网 络 ( 互 联网 ) 和 内 部 网 络 〈Intranet) 进行 
连接 ， 内 部 网 络 用 户 只 有 登录 该 计算 机 (网 天 ) 才能 完成 对 外 
部 互联 网 的 访问 。 而 当时 AT&T 贝尔 实验 室 的 防火 墙 装置 则 
是 属于 第 二 代 防 火 墙 技 术 的 电路 层 (Circuit Level) 防火 墙 

(参考 05.04 节 ) 。 该 装置 使 用 了 配 有 两 个 接口 的 、DEC 公司 
的 VAX 计算 机 ， 内 部 网 络 用 户 必 须 通 过 该 计算 机 的 电路 中 
继 ， 才 能 完成 对 互联 网 的 访问 。 


随后 ， 从 1988 年 到 1990 年 ，DEC 公司 的 防火 墙 装 置 不 仅 需 
要 用 户 登 录 ， 还 添加 了 限制 非法 通信 的 功能 〈( 称 为 

screend) 。 当 时 作为 限制 对 象 的 网 络 服务 有 USENET 新 闻 、 
FTP、Telnet、 邮 件 等 。 在 这 之 后 ， 业 内 又 逐步 转 癌 开发 无 需 
用 户 登 录 ， 单 纯 对 网 络 服务 进行 控制 的 防火 墙 产 品 。 该 类 型 防 
火 墙 属于 第 三 代 防 火 墙 ， 即 应 用 层 防火 墙 ( 也 称 为 代理 防火 
肖 )。 男 外 ， 这 一 时 期 的 文献 中 也 记录 了 一 些 类 似 于 “确认 连 
接 建立 允许 输入 啊 应 ”在 IP 层面 保持 状态 ”等 功能 ， 这 些 功 
能 在 现在 的 状态 防火 墙 (stateful firewall) 中 都 保留 了 下 来 。 


DEC 公司 的 防火 墙 原本 常用 于 大 学 或 科研 机 构 ， 但 在 1991 
年 ，DEC 公司 开始 面向 企业 销售 名 为 DEC SEAL (Screening 
External Access Link) 的 防火 墙 产 品 。 


第 四 代 防 火 墙 即 分 组 过 小 防火 墙 的 早期 装置 一 一 Visas 的 研发 
工作 开始 于 1992 年 2 。Visas 也 成 为 1994 年 由 Check Point 
Software Technologies 公司 ”开发 的 商用 防火 墙 产 品 Firewall-1 
的 原型 。 


2 该 项 目 是 由 美国 南 加 州 大 学 的 Bob Braden 和 Annette DeSchon 发 起 的 。 一 一 译 者 
































注 


3 一 家 以 色 列 公司 ， 成 立 于 1993 年 。 一 一 译 者 注 














4 当时 Visas 仅仅 是 一 个 带 有 图 形 界面 的 实验 室 原型 产品 ， 最 后 这 些 特性 被 以 色 列 
的 Check Point 公司 引入 ， 成 为 其 拳头 产品 Firewall-1。 译 者 注 


























1996 年 ，Global 互联 网 Software Group 公司 ”开始 研发 第 五 代 
防火 墙 ， 即 基于 内 核 代理 架构 〈kernel proxy architecture〉 的 防 
火 墙 。 第 二 年 ， 思 科 公 司 发 售 了 首 个 基于 内 核 代 理 技术 的 防火 
墙 产 品 wa Centri Firewall6 。 Cisco Centri Firewall 是 在 
Windows NT 上 运行 的 软件 ， 其 中 的 诸多 技术 被 后 来 思科 公司 
的 防火 墙 设备 PIX Firewall 继承 (Cisco Centri Firewall 在 1998 
年 停止 销售 ) 。 


5 该 公司 于 1997 年 被 思科 公司 收购 。- 译 者 注 








6 该 产品 是 思科 收购 Global 互联 网 Software Group 公司 后 发 布 的 。 一 一 译 者 注 


到 了 2000 年 左右 ， 随 着 宽带 网 络 的 普及 ， | 
始 使 用 VPN。 这 一 时 期 在 日 本 ， 有 很 多 用 户 使 用 防火 墙 通过 
FTTH 或 ADSL 线路 、 以 PPPoE 的 形式 构建 站 点 到 站 点 (site 
to site) 的 VPN。 


2004 年 ，UTM (Unified Threat Management， 统 一 威胁 管理 ) 
产品 发 布 ， 是 一 款 将 IDP/IPS (Deep 深度 检测 ) 
反 病 毒 、 反 垃圾 邮件 (anti-spam) 、URL 过 滤 等 功能 集成 在 一 
起 的 防火 墙 设备 产品 。 


UTM 产品 包括 Juniper Networks 公司 的 SSG 系列 和 ISG 系 
列 、Fortinet 公司 ”的 FortiGate 系列 、Check Point 公司 的 
UTM-1 系列 以 及 思科 公司 的 ASA 系列 等 。 





7 和 Net Screen 公司 一 样 ， 由 知名 硅谷 华人 创业 者 谢 青 创办 。 一 一 译 者 注 





2007 年 ，Palo Alto Networks 公司 发 布 了 新 一 代 防 火 墙 
(NGFW，Next Generation Firewall ) ， 该 防火 墙 不 再 基于 端口 
而 是 基于 应 用 程序 来 执行 相关 的 安全 策略 。 新 一 代 防 火 墙 同 样 


配备 类 似 UTM 的 基于 内 容 安全 的 功能 ， 协 同 活动 目录 
(Active Directory) 或 Web 认证 等 完成 用 户 识别 ， 从 而 执行 并 

非 基 于 IP 地 址 ， 而 是 基于 用 户 名 、 群 组 名 的 安全 策略 。 

表 5-2 中 列 出 了 防火 墙 设备 与 安全 设备 的 发 展 历 史 。 


表 5-2 防火 墙 设备 与 安全 设备 的 及 展 历 史 








事件 


1984| Secure Computing 公 司 成 立 8 





1988 | 思科 公司 的 IOS 8.3 开 始 支持 访问 控制 列表 





1991 





SonicWall 公 司 成 立 











1992 | OECD 制 定 “ 信 息 系统 安全 指南 ” 


1993 | Check Point Software Technologies 公 司 成 立 


Network Translation 公 司 开 发 PIX 

记述 了 私有 地 址 相关 内 容 的 RFC1597 发 布 

Check Point Software Technologies 公 司 开发 状态 检测 型 防火 墙 (Firewall-1) 
Check Point Software Technologies 公 司 发 布 VPN-1 产 品 

ISS (互联 网 Security Systems) 公司 成 立 〈 IDS/IPS 设 备 产 品 ) 


1994 








1995 | 思科 公司 收购 Network Translation 公 司 、 发 布 Cisco PIX Firewall 产 品 
IPsec 版 本 1 以 RFC 文 档 (RFC1852 等 ) 形式 发 布 





加 “i 


L098 Watchguard technologies 公 司 成 立 (防火 墙 产 品 ) 3 


寻 


NetScreen Technologies 公 司 成 立 (防火墙 产品 ) 了 
Nokia 公 司 发 布 安装 有 Check Point Software Technologies 公 司 VPN-1/FireWall- 
1 产品 的 IP 系 列 安全 设备 1 。 


1997 


1998 | Tpsec 版 本 2 以 RFC 文 档 (RFC2401 等 ) 形 式 发 布 


OneSecure 公 司 成 立 (IDS/IPS 设 备 产品 ) 了 

TippingPoint 公 司 成 立 (IDS/IPS 设 备 产 品 ) 3 

TLS 版 本 1.0 以 RFC 文 档 (RFC2246)〉 形式 发 布 

NetScreen Technologies 公 司 发 布 NetScreen-5、NetScreen-10、NetScreen-100 


1999 





NetScreen NetScreen-5 


Fortinet 公 司 成 立 (防火 墙 /UTM 设 备 ) 

2000 | Neoteris 公 司 成 并 (SSL-VPN 设 备 ) 

思科 公司 收购 Altiga Networks 公 司 、 发 布 VPN 3000 系 列 〈IPsec-VPN 远 程 接 
入 集中 设备 ) 产品 





OneSecure 公 司 发 布 IDP 设 备 〈IPS 产 品 ) 

2002 | NetScreen Technologies 公 司 收购 OneSecure 公 司 

NetScreen Technologies 公 司 发 布 NetScreen-200、NetScreen-5000 系 列 产品 
Fortinet 公 司 发 布 FortiGate 系 列 产 品 


2003 | Netscreen Technologies 公 司 收购 Neoteris 公 司 


2004 | Juniper Networks 公 司 收购 NetScreen Technologies 公 司 
业内 开始 使 用 UTM 这 一 术语 


Ei i 


2005| Palo Alto Networks 公 司 成 立 

年 “| 思科 公司 发 布 适 配 性 安全 产品 ASA (Adaptive Security Appliance) 系列 
IPsec 版 本 3 以 RFC 文 档 (RFC4301 等 ) 形式 发 布 
3Com 公 司 收购 TippingPoint 公 司 








Cisco IOS 开始 支持 SSL VPN 功能 

2006 | Juniper Networks 公司 发 布 SSG 系列 产品 
Check Point Software Technologies 公司 发 布 UTM-1 系列 产品 
IBM 收购 ISS 公司 








2007|Palo Alto Networks 公司 发 布 PA 系列 产品 
思科 公司 收购 电子 邮件 安全 公司 IronPort 


2008 


McAfee 公司 收购 Secure Computing 公司 


业内 开始 使 用 “新 一 代 防 火 墙 ”这 一 术语 
2009 | Juniper Networks 发 布 SRX 系列 产品 
Check Point Software Technologies 公司 收购 Nokia 公司 的 安全 设备 事业 部 \ 将 

















其 IP 系列 安全 产品 纳入 旗下 产品 线 


< 人 | 家 公司 收购 McAfee 公司 


2012 | De 公司 收购 SonicWall 公司 








8 该 公司 最 早 从 霍 尼 韦 尔 国际 公司 独立 出 来 ， 在 2008 年 被 迈克 菲 公司 收购 ， 而 迈 
克 菲 公司 则 被 英特尔 收购 。 译 者 注 











9 该 公司 中 文 名 称 为 沃 奇 卫士 。 一 一 译 者 注 





1 该 公司 由 知名 硅谷 华人 创业 者 谢 青 、 柯 岩 等 创办 。 一 一 译 者 注 














2 当时 的 诺基亚 公司 既 有 手机 产品 线 也 有 网 络 硬件 产品 线 ， 甚 至 还 有 个 人 计算 机 
产品 线 。 一 一 译 者 注 








了 ?该 公司 于 2002 锋 


FE 被 NetScreen 收购 。 译 者 注 








13 该 公司 于 2005 锋 
注 


FE 被 HP 收购 。 





FE 被 3Com 收购 ， 后 3Com 又 于 2010 特 





译 者 





05.03” 防火墙 如 何 分 类 
05.03.01 ”软件 型 防火 墙 
个 人 防火 墙 


个 人 防火 墙 运行 于 个 人 计算 机 上 ， 用 于 监控 个 人 计算 机 与 外 部 
网 络 之 间 的 通信 信息 ， 主 要 功能 如 表 5-3 所 示 。 


在 Windows 操作 系统 中 集成 了 Windows 防火 墙 。 


一 般 拥 有 杀毒 软件 产品 的 广 商会 以 综合 安全 软件 套件 的 形式 销 
售 个 人 防火 墙 ( 表 5-4) 。 


表 5-3 个 人 防火 增产 品 的 功能 

















据 需 要 生成 记录 〈 安 全 日 志 ) ， 记 录 计 算 机 正常 连接 与 
错误 连接 的 信息 。 这 些 记 录 在 做 故障 分 析 时 会 起 到 很 大 作 











旧 止 接收 到 计算 机 病毒 和 蠕虫 通信 


反 间 谍 软 件 
(间谍 对 策 ) | 阻止 接收 到 来 自 于 以 犯罪 为 目的 的 间谍 软件 或 程序 的 通信 




















设立 对 策 以 防止 个 人 信息 被 锣 取 、 浏 览 恶 意 网 站 以 及 钓鱼 
AS 
5 











表 5-4 主要 带 有 个 人 防火 墙 的 产品 


= Virus Buster-Grand (面向 个 人 ) 
加热 科技 公 
) Virus Buster-Business Security 〈 面 癌 企 
业 ) 


= Norton 360 
赛 px : 
门 铁 克 公司 《Symantec) Norton 互联 网 Security 


] 铁 
a Total Protection 
万 八 YY 
迈克 菲 公 司 (McAfee) 互联 网 Security 








卡巴 斯 基 公 司 (Kaspersky) | 互联 网 Security 


到 Windows 防火 培 


此 如 内 折 有 外 部 源 拉 ht 生机 ， 除了 在 “例外 ”过 项 在 这 里 开启 防火 墙 


口 不 允许 例外 @) 


Se 


名 口 关闭 (不 推 荐 ) GE) 
关 多 信用 灶 寻 是 > 亲 闭 Windows 防火 墙 可 能 使 计算 机 更 容易 爱 





BR indows 防火 芒 
党 规 “| 例外 | 高 奶 


re 


程序 和 服务 也 ) 


名 称 

回 F 话 通 

口 jomeShare 

MyIE2 Web Browser 没有 勾 选 的 应 用 程序 在 与 外 部 
滔 住 ; 
ep Bi eresoft 基础 类 应 用 程序 通 信 时 3 会 被 Windows 防 火 
Dey tm 墙 拦 夫 

团 宽 带 拟 号 客户 端 

回 网 络 娱乐 内 容 平台 

口 文件 和 打印 机 共享 

门 远 稳 协 助 


加 Wndows 防火 墙 阻止 程序 时 通知 我 0D 


光 许 例外 存在 什么 风 B&? 





图 5-4 Windows 防火 墙 例 外 选项 卡 的 设置 (Windows XP) 





至 Windows 防火 墙 


常规 “| 例外 | 高 级 
网 络 连 接 设置 


为 下 列 选 定 的 连接 自用 了 Windows 要 为 每 个 连接 单独 添加 例 
外 ， 博 选择 连接， 然后 单 击 “ 设 置 ” 


回 1394 连接 人 人 设置 加 ). . 


本 地 连接 
宽带 连接 
J 
安全 日 志 记 录 
您 可 以 创建 用 于 疑难 解答 的 日 志文 件 。 


制 让 估 这 CCMP) ， 网络 上 的 计 [到 时 ] 
授 制 测 息 志 这 计 [ 设 野 @ 


站 墙 设置 还 [还原 为 默认 值 (RY 
i ee 防火 当 设 置 还 原 为 默认 状态 [ 抵 原 为 默认 值 &) 





[确定 |][ 取消 
图 5-5 Windows 防火 墙 高 级 选项 卡 的 设置 (Windows XP) 
表 5-5 Windows 防火 墙 详细 选项 卡 的 设置 内 容 


对 每 一 个 同 Internet 连 接 的 网 络 接口 进行 访问 控制 配置 ， 配 置 内 
容 包 括 可 能 访问 本 地 计算 机 的 外 部 网 络 服务 或 ICMP 等 。 这 里 的 
网 络 服务 可 以 是 指 本 地 计算 机 对 外 提供 FTP、Telnet、HTTP 等 服 


务 的 情况 ， 也 可 以 包括 本 地 计算 机 为 作为 远程 桌面 使 用 时 ， 能 
够 被 外 部 访问 的 各 个 目标 应 用 程序 








通过 设置 该 项 ，Windows 防 火 增 能 够 记录 丢弃 的 分 组 日 志 以 及 
连接 成 功 的 日 志 





以 计算 机 为 单位 ， 设 置 是 否 允许 接收 ICMP 通 信 ， 还 能 够 进行 
全 ICMP | Echo Request 接 收 以 及 Time Exceeded 发 送 等 ICMP 类 型 的 设置 。 








在 “网 络 连接 配置 ”中 ， 也 可 以 对 每 个 网 络 接口 进行 同样 的 设置 











还 原 Windows 防 火 墙 的 默认 设置 





网 关 型 防火 墙 

在 计算 机 网 络 的 网 关中 设置 类 似 防火 墙 设备 的 功能 ， 从 而 对 网 
0 这 种 类 型 的 防火 墙 即 为 网 关 型 防 
J ji 

网 关 型 防火 墙 分 为 两 类 ， 一 类 是 在 Windows、Linux 等 通用 操 
作 系 统 上 安装 并 运行 Firewall-1 软件 的 软件 型 网 关 防 火 墙 ， 一 
类 是 使 用 专用 设备 的 硬件 型 网 关 防 火 墙 。 

个 人 防火 墙 主要 监控 所 有 到 达 个 人 计算 机 的 通信 流量 ， 而 网 关 
型 防火 墙 则 需要 监控 来 自 多 数 不 特定 终端 设备 的 通信 流量 ， 并 
在 它们 通过 网 关 时 实施 策略 控制 。 


表 5-6 个 人 防火 墙 与 网 天 型 防火 墙 的 主要 区 别 


| 个 人 防水 向 关 型 防 水 


| pe Windows 或 Linux 等 服务 器 上 


交 络 上 的 位 置 a 


流 经 网 关 的 所 有 通信 流量 




















不 能 检查 有 时 也 能 够 对 SSL 通 信 等 
进行 解密 ) 























压缩 文件 检查 解压 后 检查 对 解压 方式 、 解 压 级 别 有 限 制 


ee 输入 口令 后 解 





05.03.02 ”硬件 型 防火 墙 

硬件 型 防火 墙 是 指 通 过 硬件 设备 实现 的 防火 墙 ， 外 形 同 路 由 器 
形状 类 似 ， 但 网 络 接口 类 型 一 般 只 支持 以 太 网 ， 包 括 
10/100/1000BASE-T 的 RJ-45 以 及 支持 千 兆 以 太 网 、 万 兆 以 太 
网 收发 器 的 接口 模块 〈 表 5-7) 。 


表 5-7 主要 的 硬件 防火 墙 产品 


厂商 名 称 | 产 ee 照片 


ASA5540 


ey Juniper sse2° 
| > Erie 


Juniper 公 司 





SRX210 





Check Point | Power-1 
Software 系列 
Technologies | IP 安 全 设 
公司 备 系列 








Ce 


IP1285 


Palo Alto 
Networks 公 | PA 系列 
司 





PA-5050 





= | FortiGate or 
Fortinet 公 司 a i 
系列 Me ee -- 于 画 宇 a Se 


FortiGate-300C 





05.04 ”防火 墙 技 术 类 型 


防火 墙 在 网 络 边 界 判断 允许 进行 的 通信 和 不 被 允许 的 通信 ， 作 
为 其 判断 依据 的 技术 类 型 按 表 5-8 的 顺序 逐步 演进 。 


表 5-8 防火 墙 技术 类 型 的 演进 








属于 第 一 代 防 火 墙 技术 ， 在 尚 没 有 专用 防火 墙 设备 时 ， 一 般 由 
路 由 器 实现 该 功能 

参考 网 络 上 传送 的 人 P 分 组 首部 以 及 TCP/UDP 分 组 首部 ， 获 取 发 
送 源 的 人 P 地 址 和 端口 号 ， 以 及 目的 地 的 IP 地 址 和 端口 号 ， 并 将 
这 些 信息 作为 过 滤 条 件 ， 决 定 是 否 将 该 分 组 转发 至 目的 地 网 络 
分 组 过 滤 的 执行 需要 设置 访问 控制 列表 。 访 问 控制 列表 也 可 以 
称 为 安全 策略 (简称 策略 或 安全 规则 (简称 规则 ) 

有 关 安 全 策略 的 详细 信息 请 参考 05.07 节 



























































属于 第 二 代 防 火 墙 技 术 。 不 再 以 分 组 为 单位 进行 通信 过 滤 ， 而 
是 由 网 络 中 既 存 的 网 关 《 防 火 墙 ) 特定 的 应 用 程序 会 话 




















应 
用 
网 
关 
型 





防火 墙 不 再 根据 IP 分 组 首部 和 TCP 分 组 首部 进行 过 滤 ， 而 是 在 
仿生 站 二 人 全 你 由 潭 六合 且 人 生生 何人 SOCKSO 信 
实现 

当 内 网 终端 连接 外 部 网 络 时 ， 将 会 针对 电路 层 网 关 建 并 TCP 连 
接 ， 从 而 在 网 关 和 外 部 网 络 服务 器 之 间 建 立新 的 TCP 连 接 
通过 使 用 电路 层 网 关 ， 无 需 在 策略 中 设置 安全 认证 端口 信息 和 
NAT， 即 可 从 拥有 私有 地 址 的 内 网 终端 连接 至 外 部 网 络 







































































动态 分 组 过 滤 的 一 种 ， 通 过 检测 TCP 的 连接 状态 阻挡 来 路 不 明 
的 分 组 ， 英 文 缩写 为 SPI。 使 用 状态 分 组 检测 能 够 有 效 抵抗 下 面 














状 这 些 类 型 的 攻击 
态 |1993 | 。 伪装 IP 地 址 或 者 端口 ， 发 送 附带 TCP 的 RST 或 FIN 标 志 位 的 分 
检 | 年 ”| 组 ， 随 意 中 止 正常 通信 的 攻击 
测 。 在 允许 通信 的 范围 内 发 送 附 带 TCP 的 ACK 标 志 位 的 分 组 ， 从 
型 而 入 侵 内 部 网 络 

e 在 FTP 通 信 时 ， 无 论 是 否 建立 控制 连接 ， 都 会 创建 数据 连接 
进而 入 侵 内 部 网 络 















































不 仅 根 据 端 口号 或 协议 号 识别 应 用 程序 ， 也 不 仅 根 据 耻 地址 识 
别 用 户 信息 ， 而 是 根据 上 述 所 有 信息 执行 安全 策略 来 进行 防 
御 。 例 如 ， 在 传统 的 防火 墙 中 会 记录 “人 允许 进行 10.1.1.1 的 IP 地 
址 到 端口 80 的 通信 ”这 一 安全 策略 ， 但 在 新 一 代 防 火 墙 中 可 能 
“允许 名 为 yamada 的 账户 与 Facebook 进 行 通信 ”的 

谷 










































































网 络 路 径 上 只 要 有 防火 墙 ， 就 会 存在 不 少 为 了 回避 防火 墙 、 
找 开放 端口 而 开发 的 端口 扫描 程序 ， 这 类 应 用 程序 无 法 通过 基 
于 端口 的 防火 墙 防御 。 男 外 ，HTTP 或 者 HTTPS 使 用 的 80 或 者 
443 端 口 也 会 被 各 种 各 样 的 应 用 程序 使 用 。 综 上 所 述 ， 以 应 用 程 
3000338060000 代 防 火 墙 技 





































































































代理 服务 器 
代理 服务 器 是 应 用 网 关 型 防火 墙 的 一 种 。 


Linux 所 使 用 的 代理 服务 器 中 ， 有 一 球 叫 做 Squid 的 免费 软 


代理 服务 器 的 硬件 设备 有 Blue Coat Systems 公司 开发 的 SG 系 
列 。 


另外 ， 还 有 一 些 应 用 了 代理 服务 器 功能 的 设备 产品 兼顾 了 网 关 
型 防毒 功能 和 URL 过 小 功能 等 (如 趋势 科技 公司 的 IWSM.、 
Digital Art 公司 的 D-SPA 系列 等 ) 。 


什么 是 代理 


例如 ，HTTP 代理 对 应 的 网 关 在 从 用 户 《 客 户 端 ) 处 收 到 
HTTP 通信 请 求 后 ， 目 身 将 代 蔡 客户 向 HTTP 服务 器 发 送 
HTTP 通信 请 求 。 丛 客户 端的 角度 来 看 ， 网 关 即 其 通信 和 终 冰 。 
由 此 ， 在 客户 端 与 网 关 ， 网 关 与 HITTP 服务 器 之 间 分 别 生成 两 





个 会 话 ( 如 图 5-6 所 示 ) 。 如 果 像 这 样 网 关 成 为 客户 端的 代 
人 
情况 。 
a 从 客户 端 收 到 的 请 求 或 从 服务 器 端 得 到 的 啊 应 会 在 应 用 层 
进行 检查 ， 如 宁 发 生 寞 币 则 放弃 通信 或 者 发 送出 错 信息 。 
a 由 于 网 关 是 会 话 的 起 点 ， 因 此 可 以 对 互联 网 上 的 外 部 服务 
上 隐藏 客户 并 的 IP 地 址 。 


e 经 由 代理 服务 器 的 情况 TCP 连接 


w= 

ET eh 

mw 外 太 
. sw 








w=” 
了 

四 和 

- 





Web 服务 器 





除了 应 用 网 关 型 之 外 的 防火 墙 Web 服务 器 


图 5-6 代理 (应 用 层 网 关 ) 和 其 他 硬件 的 不 同 








3 
发 送 源 ”目的 地 ”发 送 源 目的 地 
IP 地 址 。 IP 地 址 ”端口 号 端口 号 
| io011252 | 10115 | 23456| 80 | 
Web 服务 器 从 代理 服务 器 处 接收 到 HTTP 
请 求 并 进行 处 理 ， 而 来 自 PC 客户 端的 
L3、L4 首部 信息 并 不 到 达 Web 服务 器 


发 送 源 目的 地 发 送 源 目的 地 
IP 地 址 IP 地 址 端口 号 端口 号 
[192.168.1.5 |192.168.1.252| 12345 | 8080 | 
客户 端 PC 向 代理 服务 器 发 送 目 的 地 端口 
为 8080 的 HTTP 请 求 
















Web 服务 器 








10.1.1.252 10.1.1.5 


2) 代理 服务 器 向 端口 为 80 的 Web 服务 器 转发 客户 
端 PC 的 HTTP 请 求 


图 5-7 经 由 代理 路 径 的 分 组 的 变化 


分 组 过 滤 型 的 防火 墙 以 所 有 使 用 IP 或 TCP/UDP 的 通信 为 对 
象 ， 判 断 是 否 允 许 通信 。 而 应 用 网 关 型 的 防火 墙 仅 以 通过 网 关 
的 应 用 程序 为 对 象 ， 具 体 而 言 就 是 将 FTP、HTTP、Telnet、 
DNS 等 作为 处 理 对 象 的 应 用 程序 来 进行 判断 。 


与 在 传输 层 进行 数据 检查 的 分 组 过 滤 型 不 同 ， 应 用 网 关 型 防火 
墙 在 应 用 层 进行 数据 检查 ， 因 此 处 理 速度 相对 较 慢 。 


05.05 ”什么 是 防火 墙 的 网 络 接口 模式 


防火 墙 功 能 设备 网 络 接口 模式 的 种 类 如 表 5-9 所 示 。 有 些 功 能 
设备 在 一 个 机 框 内 能 组 合 出 多 种 模式 ， 但 是 只 能 使 用 其 中 的 一 
种 接口 模式 。L1~L3 模式 如 图 5-8 所 示 ， 是 将 需要 防火 墙 控制 
的 链 路 进行 “ 捉 行 ?连接 ， 这 样 的 拓扑 结构 称 为 内 联 (inline) 连 
接 ， 英 语 为 on-a-stick， 所 以 防火 墙 的 * 串 行 ? 也 称 为 Firewall- 
on-a-stick， 如 果 是 路 由 器 的 “ 串 行 ” 则 称 为 Router-on-a-stick。 


TAPH1 模式 正如 图 5-9 所 示 ， 该 模式 仅 有 一 条 来 自 交 换 机 的 链 
路 构成 ， 这 样 的 链 路 组 成 结构 也 称 为 单 臂 (one-arm 或 者 one- 
armed) 拓扑 。 



































这 里 的 TAP 是 指 能 够 提供 一 种 方式 访问 在 计算 机 网 络 之 间 流 动 的 数据 的 装置 。 
一 一 译 者 注 





表 5-9 网 络 接口 模式 的 种 





也 称 为 NAT 模 式 ， 是 与 路 由 器 接口 一 样 拥有 IP 地 址 的 接口 。 在 进行 
路 由 选择 、NAT 以 及 连接 IPSec-VPN 或 SSL-VPN 时 ， 必 须 使 用 L3 模 
式 的 接口 
可 以 通过 网 络 管理 人 员 输 入 静态 配置 了 地 址 ， 也 可 以 通过 PPPoE、 
DHCP 客 户 端 动态 分 配 来 获取 接口 的 IP 地 址 。 在 L3 模 式 下 进行 路 由 
时 ， 需 要 使 用 虚拟 路 由 器 

































































也 称 为 透 传 模式 或 者 透明 模式 〈L2 透 明 模式 ) ， 是 与 交换 机 接口 一 
主角 有 同 香 MAC 地 址 ， 可 进行 桥接 的 接口 。 进 行 下 地 址 分 配 时 需要 
VLAN 











也 称 为 虚拟 线 缆 模 式 。 把 两 对 儿 网 络 接口 组 成 一 组 ， 流 量 在 其 中 一 
模式 该 模式 下 无 法 进行 路 由 和 


























与 交换 机 镜像 端口 (SPAN 端口 ) 相连 接 的 模式 。 通 过 对 交换 机 转 
TAP | 发 的 数据 帧 进行 复制 并 收集 ， 可 以 将 通信 内 容 可 视 化 并 检测 恶意 软 
模式 | 件 。 由 于 不 是 内 联结 构 ， 因 此 该 模式 无 法 阻止 那些 没有 必要 的 通信 


过 程 





图 5-9 TAP 模式 的 机 构 


其 他 接口 


与 路 由 器 和 交换 机 一 样 ， 部 分 防火 墙 同样 可 以 设置 回环 接口 、 
VLAN 接口 〈 子 接口 ) 和 汇聚 接口 (IEEE 802.3ad) 等 (参考 
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05.06 ”防火 墙 能 够 预防 的 威胁 
表 5-10 罗列 了 防火 墙 能 够 防范 的 威胁 。 
表 5-10 防火 墙 能 够 防范 的 威胁 





通过 寡 听 网 络 数据 获 
密码 





将 网 站 主页 、 邮 件 等 
通信 和 内容 恶意 修改 





攻击 等 破坏 系统 的 正 
常 工作 





CS 


送 方 受 接收 方 
通过 计算 机 病毒 或 Dos| 。 -由 )” 量 


冒充 他 人 接收 邮件 、 
0 


鱼 、 诈 骗 等 行为 和 











发 送 方 C2 C2, 接收 方 
号 | 个 人 计算 机 或 服务 器 
Rs 1 


浴 人 





旺 











作为 病毒 部 署 或 DoS 
攻击 的 跳板 〈 中 继 





处 ) 











以 营利 为 目的 发 送 大 量 邮件 





威胁 安全 的 人 


安全 戌 胁 一 般 分 为 人 为 因素 和 非 人 为 因 系 自然 灾害 等 ) ， 防 
火 墙 面 临 的 威胁 一 般 来 自 于 人 为 因素 。 表 5-11 列 出 了 安全 威 
胁 人 攻击 者 ) 的 几 个 类 型 。 


表 5-11 安全 威胁 人 《攻击 者 ) 的 几 个 类 型 








黑客 经 常会 听 到 “被 黑客 入 侵 了 ”的 说 法 ， 但 实际 上 黑客 是 指 那些 
Chacker) | 对 计算 机 技术 了 如 指 党 的 人 ， 而 并 非特 指 网 络 攻 击 者 








对 网 络 进行 非法 访问 、 魏 听信 息 、 算 改 等 行为 的 人 


(cracker) 








进攻 者 


(attacker) 








以 造成 系统 当 机 为 目的 、 对 系统 施展 DoS 等 攻击 的 人 














发 送 大 量 垃圾 邮件 、 在 BBS 中 粘贴 大 量 广告 、 散 布 以 诽谤 
为 目的 的 言论 或 发 布 大 量 无 意义 信息 的 人 






































管 不 会 有 主动 的 攻击 行为 ， 但 普通 用 户 会 在 不 知情 的 情况 

















尽 
使 用 了 被 病毒 、 蠕 虫 等 感染 的 个 人 计算 机 ， 从 而 成 为 威胁 
网 络 安全 的 对 象 




















作为 攻击 跳板 的 终端 ， 经 常 被 植 入 带 有 攻击 程序 的 病毒 ， 虽 
受 感染 的 终端 称 为 “僵尸 ”， 由 大 量 僵尸 程序 组 成 的 网 络 则 称 
为 “僵尸 网 络 " 




















05.07 防火墙 中 搭载 的 各 种 功能 

05.07.01 ”会话 管理 

会 话 与 数据 流 

会 话 (session) 是 指 两 个 系统 之 间 通 信 的 逻辑 连接 从 开始 到 结 
束 的 过 程 。 

在 TCP 中 某 个 服务 器 与 客户 端 成 对 进行 通信 有 时， 会 完成 3 次 
握手 来 确认 建立 1 个 TCP 连接 ， 在 从 连接 建立 开始 至 连接 结 


束 的 时 间 里 ， 客 户 端 发 送 请 求 〈(request) 和 服务 器 进行 应 答 
(response) 这 一 交互 过 程 即 可 称 为 进行 了 1 个 会 话 。 


在 UDP 中 ， 客 户 并 与 服务 器 之 间 只 要 发 送 源 的 端口 和 目的 地 
端口 的 配对 一 致 ， 随 后 的 一 系列 通信 均 可 以 称 为 会 话 。 


在 ICMP 中 ， 例 如 Echo 和 对 应 的 Echo reply 的 组 合 就 可 以 称 
为 会 话 。 


一 个 会 话 存 在 “客户 端 服务 器 ”(c2s 或 client to server) 和 “ 服 
务 器 客户 端 ”(s2c 或 server to dient) 两 个 数据 流 (flow) 。 
数据 流 是 指 发 往 通 信 对 方 的 多 个 分 组 序列 。 





客 器 


户 端 服务 

SYN 

SYN+ACK 
ACK 

HTTP request 1 个 会 话 

HTTP reply 

FIN 
FIN+ACK 











发 送 源 地 址 :1.1.1.1 发 送 源 地 址 :2.2.2.2 
目的 地 址 ，2.2.2.2 目的 地 址 : 1.1.1.1 
发 送 源 端口 ，11111 发 送 源 端口 : 80 
目的 地 端口 ， 80 目的 地 端口 : 11111 
c2s ( client to server ) 的 数据 流 s2c ( server to client ) 的 数据 流 
图 5-10 展示 了 HTTP 通信 中 的 数据 流 和 会 话 示 例 
TCP 连接 管理 





一 个 TCP 的 连接 需要 通过 3 次 握手 来 确认 建立 。 


最 初 由 客户 端 发 送 SYN 消息 ， 即 发 送 首部 中 SYN 比特 信息 设 
置 为 “41” 的 TCP 数据 段 。SYN 读 作 /sin/， 表 示 同 步 的 意思 ， 
取 自 Synchronization 这 个 单词 的 前 三 个 字母 。SYN 相当 于 一 
个 开始 信号 ， 与 打 电 话 时 先 拨号 码 的 行为 类 似 。 


当 服 务 器 收 到 来 自 客 户 端的 SYN 消息 后 ， 将 返回 表示 确认 的 
ACK 消息 ， 同 时 也 会 发 送 一 个 SYN 消息 至 客户 端 。ACK 表 
示 确 认 的 意思 ， 取 自 Acknowledgement 这 个 单词 的 前 三 个 字 

母 。 


TCP 连接 使 用 端口 号 表示 不 同 的 网 络 服务 〈 应 用 程序 ) 。 例 
如 ，HTTP 使 用 80 号 端口 ，TELNET 使 用 23 号 端口 。 提 供 
HTTP 服务 的 服务 器 必须 接收 和 处 理 客户 端 发 送 至 80 号 端口 
的 TCP 数据 段 。 能 够 处 理 分 组 的 状态 一 般 表示 为 listen 状态 
(listen 意 为 “ 侦 听 ”， 也 称 为 listening) 。 








建立 TCP 连 接 / 数 据 传输 /结束 步骤 
客户 端 服务 器 









SYN+ACK 的 Ack 编 
号 为 SYN 的 Seq 编 










SYN { Seq=100,Ack=0 ) 





CLOSED 6 












SyN SENT LISTEN | 号 +1，Seq 编 号 由 
-~ 客户 端 随机 生成 
连接 建立 步骤 SYN+ ACK ( Seq=200,Ack=101 7 
SYN_RCVD 
ESTABLISHED ACK ( Seq=101,Ack=201 ) 
PSH + 数据 ( 5byte ) ESTABLISHED 
{ Seq=101,Ack=201 ) 
Ack 编 号 为 Seq 编 号 + 
AQK+PSH + 数据 [84byte ) 生效 顽 的 字 节 数 
=201,Ack=1 
数据 传输 时 保持 = 数据 传输 时 保持 
a ESTABLISHED 
数据 传输 步骤 ”ESTABLISHED ACK+PSH+ 数 据 ( 5byte ) ”| 状态 


状态 (Seq=106,Ack=265 ) 


Ack 编 号 为 Seq 编 号 + 
数据 的 字 节 数 ACK+ PSH + 数据 ( 64byte ) 

( Seq=265,Ack=111 ) FIN+ACK 的 Ack 编 号 为 
FIN 的 Seq 编 号 +1 












ESTABLISHED 
FIN_WAIT1(5 


FIN 
{Seq=111,Ack=329) 4 ESTABLISHED 


FIN+ACK CLOSE_WAIT 
( Seq=329,Ack=112 ) 
连接 终止 步骤 。 FIN_WAIT2 LAST_ACK 


Vy ACK ( Seq=112,Ack=330 ) 
TIME_WAIT 


ACK 的 Ack 编 号 为 FIN+ 
ACK 的 Seq 编 号 +1 


在 这 期 间 ( 1~4 分 钟 ) 内 ， 相 同 端口 之 间 无 法 连接 


CLOSED 





图 5-11 TCP 的 3 次 握手 

1. 客户 端 发 送 SYN 标志 位 设置 为 On 的 TCP 数据 段 。 

2. 服务 器 接收 到 带 有 SYN 标志 位 的 消息 后 ， 将 SYN 与 ACK 
oo On， 并 设置 Ack 编写 为 “发 送 方 的 Seq+1” 后 
进行 回复 。 


3. 客户 端 将 ACK 标志 位 设置 为 On， 将 Ack 编号 设置 为 “接收 
编号 +1” 的 TCP 数据 段 发 送 回 服 务 器 ， 确 认 建立 TCP 
十 扩 。 


TCP 中 用 序列 号 (sequence) 来 表示 应 用 程序 数据 发 送 至 何 














处 ，TCP 连接 所 使 用 的 初始 序列 在 3 次 握手 的 过 程 中 确定 。 


序列 号 分 为 两 类 ， 一 类 用 于 从 客户 端 发 往 服务 器 端 〈c2s) 的 
上 行 TCP 数据 段 ， 另 一 类 用 于 从 服务 器 端 发 往 客户 端 〈S2c) 
的 下 行 TCP 数据 段 。 上 行 和 下 行 两 种 数据 流 在 建立 时 ， 各 自 
使 用 不 同 的 随机 数 作 为 初始 序列 号 ISN 〈Initial Sequence 
Number) 。 


ms SYN 检查 


TCP 会 话 开 始 时 客户 端 必 会 发 送 一 个 SYN 消 轧 。 如 果 和 是 

没有 附带 会 话 信 息 〈 或 尚未 建立 会 话 ) ， 即 非 SYN 消 奶 

的 TCP 数据 段 到 达 防 火 墙 ， 防 火 墙 束 会 将 其 视 作 非法 而 

整个 丢弃 。 但 也 可 以 根据 不 同 的 情形 〈 双 活 见 余 或 会 话 超 
时 等 ) 关闭 (OFF) 防火墙 的 这 个 功能 ， 使 不 带 有 会 话 信 
娠 的 、 非 SYN 消息 的 TCP 数据 段 也 能 够 通过 防火 墙 。 


ACK 检查 











在 根据 SYN Cookie 〈 参 考 表 5-27) 信息 防范 SYN Flood 
攻击 时 ， 通 过 对 SYN-ACK 的 ACK 消息 进行 检查 ， 能 够 
确认 进行 中 的 3 次 握手 是 否 为 非法 党 试 。 

同一 数据 段 检查 

终端 再 次 发 送 TCP 数据 段 时 ， 对 于 和 之 前 收 到 的 TCP 数 
据 段 含有 相同 序列 号 或 数据 的 TCP 数据 段 ， 可 以 指定 防 
火 墙 的 处 理 方式 ， 即 指定 是 使 用 新 接收 到 的 重复 数据 段 还 
是 丢弃 该 重复 数据 段 。 

窗口 检查 


检查 TCP 首部 内 的 序列 号 和 滑动 窗口 大 小 (Window 
Size) ， 拦 截 超过 滑动 窗口 容量 数据 的 序列 号 。 


a 数据 段 重组 


即使 各 数据 段 的 顺序 出 现 变化 ，TCP 数据 段 也 能 根据 序列 
号 调整 为 正确 顺序 。 在 防火 墙 进行 这 一 工作 ， 可 以 验证 

















TCP 数据 段 序 列 号 是 否 完整 。 
会 话 建立 的 处 理 


pe 0 
会 话 建 并 


1. 检索 会 话 表 ， 确 认 表 内 是 否 存 在 相同 会 话 〈( 奉 存在 相同 会 
话 ， 则 禁止 会 话 建立 的 后 续 流 程 ) 。 


2. 若 不 存在 相同 会 话 ， 则 检查 该 分 组 是 否 可 以 通过 L3 路 由 选 
择 或 L2 转发 来 输出 。 如 果 可 以 输出 ， 确 定 对 应 的 网 络 输出 接 
口 和 目的 地 区 域 (车 不 能 输出 ， 则 丢弃 该 分 组 ) 。 


3. 分 组 转发 时 ， 如 果 目 的 地 址 需要 进行 NAT 则 先 完成 NAT， 
确定 NAT 后 的 网 络 输出 接口 和 目的 地 区 域 。 


4. 根据 分 组 的 发 送 源 信息 《发 送 源 网 络 接口 、 发 送 源 区 域 和 发 
送 源 地 址 ) 以 及 经 过 @、 色 步骤 后 得 到 的 目的 地 信息 《目的 地 
网 络 接口 、 目 的 地 区 域 、 目 的 地 址 ) 进行 安全 策略 检查 ， 发 现 
有 符合 和 上 略 时 ， 则 根据 该 策略 (允许 通信 或 拒绝 通信 ) 
决定 是 继续 转发 还 是 丢弃 分 组 。 如 果 没 有 符合 的 安全 策略 ， 则 
志 据 "号 认 相 结 "的 设 定 于 年 沪 为 组 


ee 通信 时 ， 会 话 表 中 就 会 生成 该 会 话 的 相关 信 








会 话 的 生存 时 间 


会 话 表 中 记录 的 会 话 信息 有 一 定 的 生存 时 间 。 会 话 建 立 后 ， 如 
果 在 一 定时 间 内 一 直 处 于 无 通信 状态 ， 防 火 墙 将 会 判断 该 会 话 
的 生存 时 间 已 到 ， 进 而 将 该 会 话 记 录 项 从 会 话 表 内 删除 。 如 果 
无 条 件 地 任 由 会 话 记 录 留 在 会 话 表 中 ， 这 些 会 话 信 息 则 很 有 可 
能 会 被 用 于 恶意 攻击 等 行为 。 男 外 ， 由 于 会 话 表 的 记录 项 在 数 
量 上 也 有 一 定 的 限制 ， 因 此 长 期 保留 会 话 记录 也 会 导致 资源 的 
长 期 占用 ， 从 而 影响 新 会 话 记录 的 生成 。 


会 话 时 间 能 够 根据 TCP、UDP 或 其 他 IP 协议 的 不 同 分 别 进行 














设置 。 


对 于 TCP 而 言 ， 会 话 的 超时 时 间 一 般 为 30 分 钟 ~1 小 时 ， 

UDP 则 为 30 秒 左右 。 例 如 ， 某 Telnet 会 话 通 过 防火 墙 完成 了 

连接 ， 奉 在 1 个 小 时 内 没有 进行 任何 通信 ， 防 火 墙 会 自动 将 该 
会 话 记 录 从 会 话 表 中 删除 。 此 后 ， 客 户 痢 想 要 继续 该 Telnet 会 
话 时 ， 也 会 被 防火 墙 拒绝 〈 图 5-12) ， 因 此 客户 端 需要 重新 建 
Y Telnet 会 话 。 会 话 生 存 时 间 的 调整 可 以 参考 本 书 07.04 市 。 








客户 端 防火 墙 服务 器 
SU RE FESCEEEEEEGEEESESSE4 天 全 和 抽 全 本 的 肌 会 话 信息 在 
AGCK SYN+ACK 这 里 生成 
Telnet 
命令 Telnet 响 应 





1 小 时 内 没有 进行 任何 通信 











Telnet 
> ii i 
“| 丢弃 非 SYN 消 息 的 TCP 数 据 段 
SUN RN CC 同村 个 和 生 玫 仆人 和 和 必须 重新 完成 3 次 握 
ACK SYN+ACK 手 过 程 以 便 再 次 建立 
Telnet Telnet 会 话 
心 人 
op 





图 5-12 会 话 生 存 时 间 与 超时 的 概念 图 
会 话 终止 处 理 
TCP 连接 一 般 通 过 下 面 的 步骤 终止 会 话 。 


1. 客 户 端 在 完成 收发 数据 后 ， 会 发 送 FIN 标志 位 设置 为 On 的 
TCP 数据 段 CFIN) 。 


2. 服务 器 接收 到 FIN 消息 后 ， 会 在 回复 消息 中 将 FIN 与 ACK 
标志 位 设置 为 On， 并 将 Ack 编号 设置 为 “接收 的 Seq 编号 


十 1 2 


3. 客户 端 同样 在 回复 的 TCP 消息 中 将 ACK 标志 位 设 为 On， 
将 Ack 编号 设置 为 “接收 的 Sed 编号 +1”， 连 接 就 此 结 








4. 这 时 ， 客 户 端 会 进入 TIME_WAIT 的 TCP 状态 。 一 定时 间 
后 本 次 连接 所 使 用 的 TCP 端口 号 (来 自 客户 端的 通信 发 送 源 
端口 号 ) 将 会 禁用 。 这 一 时 间 段 称 为 2MSL (Maximum 
Segment Lifetime，MSL 的 2 倍 ) ， 根 据 实现 的 不 同 ， 大 约 在 
1 分钟 到 几 分 钟 之 间 不 等 。 


如 果 客 户 端 或 服务 器 在 确认 连接 建立 时 发 生 了 故障 ， 那 么 将 只 
有 能 够 通信 的 一 方 进 入 侦 听 状态 ， 这 种 情形 称 为 半 侦 听 或 是 半 
关闭 。 如 果 这 时 通信 的 故障 方 从 故障 中 恢复 ， 并 接收 到 故障 前 
交互 的 TCP 数据 段 ， 便 会 回 通 信 对 方 回复 一 条 TCP 啊 应 数据 
段 ， 该 数据 段 中 RST 标志 位 设 为 ON， 通过 这 条 啊 应 消息 强制 
终止 TCP 连接 。 


终止 连接 有 时 会 通过 FIN 和 RST 两 个 标志 位 来 完成 ， 不 过 当 
防火 墙 接 收 到 来 自 通信 方 的 FIN 或 RST 时 ， 还 可 以 启动 另 一 
个 30 秒 左右 的 定时 器 。 如 果 在 该 时 间 段 内 FIN FIN-ACK -> 
ACK ee 防火 墙 中 的 会 话 表 项 会 被 强制 市 
除 (图 5-13) 。 














客户 端 防火 墙 服务 器 
根据 SYN 信 息 生 成 会 话 信息 


5 秒 内 如 果 仍 未 完成 3 次 握 
手 结束 则 删除 会 话 信息 


SYN+ACK 
> 


没有 收 到 FIN+ACK 消 息 则 删 
除 会 话 信息 


FIN+ACK 


| 收 到 FIN 消 息 后 的 30 秒 内 如 果 





图 5-13 在 接收 SYN、FIN 消息 时 强制 删除 会 话 信 息 的 时 机 


表 5-12 与 会 话 相 关 的 定时 右 种 类 (了 Palo Alto Network 公 


司 的 PA 系列 产品 为 例 ) 


与 会 话 相 关 的 定时 器 种 类 默认 值 


: 3600 秒 
> |、 : 30 秒 
全 上 
会 话 生存 时 间 : 30 秒 
ICMP : 6 秒 


接收 SYN 后 到 3 次 握手 结束 之 前 的 会 话 超时 


接收 到 FIN 或 RST 后 到 会 话 结束 之 前 的 会 话 超时 





UDP 数据 流 的 管理 


在 UDP 中 没有 像 TCP 这 样 的 3 次 握手 过 程 ， 客 户 端 和 服务 器 
之 间 直 接 使 用 带 有 应 用 程序 分 组 的 UDP 分 组 进行 交互 。 


UDP 数据 流 是 指 发 送 源 卫 地 址 、 发 送 源 端口 号 、 目 的 地 全 地 
址 和 目的 地 端口 号 这 4 个 参数 都 相同 的 一 系列 UDP 分 组 (图 
5-14) 3 


客户 端 服务 器 











查 旋 
PINS 汶 } 1 个 会 话 
query 响 应 
和 
\ 
发 送 源 地 址 ，10.1.1.1 | 发 送 源 地 址 ，10.1.1.236 
目的 地 址 : 10.1.1.236 目的 地 址 ; 10.1.1.1 
发 送 源 端口 ，23455 发 送 源 端口 : 53 
目的 地 端口 ，53 目的 地 端口 ，23455 
c2s ( client to server ) 的 数据 流 s2c ( server to client ) 的 数据 流 
从 10.1.1.1 地 址 向 10.1.1.236 地 址 的 53 号 端 从 10.1.1.236 地 址 向 10.1.1.1 地 址 发 送 DNS 
口 发 送 DNS 请 求 ( 开始 数据 流 ) 。 在 该 请 求 响应 消息 ， 由 于 使 用 既 存 的 会 话 信 息 进行 
得 到 安全 策略 允许 的 前 提 下 ， 当 首 个 分 组 达 响应 ， 因 此 该 消息 无 需 经 过 安全 策略 检测 
到 服务 器 时 ， 防 火 墙 便 开始 生成 会 话 信息 即 可 通过 防火 墙 


图 5-14 DNS 通信 示例 


DNS 和 SNMP 这 种 管理 类 应 用 程序 一 般 只 需 1 个 UDP 分 组 便 
能 完成 1 个 数据 流程 。 

进行 音频 和 视频 数据 交互 的 RTP (Real Time Protocol) ， 则 需 
要 通过 多 个 由 流 数 据 (streaming data) 构成 的 UDP 分 组 来 完 
成 1 个 数据 流 。 

管理 ICMP 和 IP 数据 流 


在 进行 ICMP 和 TCP/UDP 以 外 的 IP 通信 时 ， 由 于 不 存在 端口 
号 这 个 概念 ， 因此 需要 直接 根据 IP 首部 的 协议 号 来 生成 会 话 


百 yo 


如 ICMP 中 的 Echo 消息 对 应 Echo Reply 消息 那样 ， 防 火 墙 需 
要 上 自动 识别 不 同 的 请 求 消息 和 与 之 对 应 啊 应 消息 ， 并 综合 判断 
这 些 消息 序列 是 否 属于 同一 个 会 话 (图 5-15) 。 




















客户 端 服务 器 








Echo 
Echo 1 个 会 话 
reply 
DNS 查 询 
query 1 个 会 话 
加 响应 
发 送 源 地 址 : 10.1.1.1 | 发 送 源 地 址 ，10.1.1.236 
目的 地 址 : 10.1.1.236 目的 地 址 : 10.1.1.1 
发 送 源 端 口 : 23455 发 送 源 端口 : 53 
目的 地 端口 ，53 目的 地 端口 : 23455 
c2s ( client to server ) 的 数据 流 s2c ( server to client ) 的 数据 流 
图 5-15 ICMP 数据 流 与 会 话 
会 话 同 步 


支持 会 话 同步 功能 的 防火 墙 能 够 对 元 余 结 构 中 〈HA 结构 3 ) 
主 设备 和 副 设 备 之 间 的 会 话 信 息 进 行 同 步 。 为 了 准确 地 同步 会 
话 信息 ， 需 要 使 用 专用 的 HA 链 路 将 两 侣 防火 墙 连接 ， 然 后 在 
该 链 路 上 完成 会 话 信 息 的 交互 。 


上 上 5 指 高 可 用 性 (High Availability) 结构 。 译 者 注 








在 采用 了 主 备 方式 的 元 余 结 构 中 ， 活 跃 设备 负责 建立 用 户 通 信 
的 会 话 ， 并 将 会 话 信 息 记 录 在 会 话 表 中 ， 同 时 还 会 将 信息 通过 
HA 专用 链 路 转发 到 备用 设备 中 。 


利用 会 话 数 目 受 限 的 特性 


有 的 防火 墙 产品 拥有 限制 通过 防火 增 会 话 数目 的 功能 ， 也 有 些 
产品 将 该 功能 作为 DoS 防御 功能 的 一 部 分 提供 给 用 户 。 


防火 墙 可 以 以 TCP SYN、UDP、ICMP 以 及 其 他 IP 等 协议 为 
单位 ， 通 过 指定 发 送 源 与 目的 地 的 组 合 来 限制 该 类 会 话 的 数 
目 。 当 指定 的 发 送 源 为 ANY、 指 定 的 目的 地 址 为 某 特定 地 址 
时 ， 恕 能 够 限制 该 服务 器 上 的 会 话 数 目 ， 这 样 做 不 仅 可 以 控制 
服务 器 的 负载 ， 还 可 以 防范 DoS 攻击 。 














为 外 ， 限 制 会 话 的 数目 就 相当 于 限制 了 防火 墙 内 会 话 表 中 会 话 
记录 的 数目 ， 这 也 能 够 在 一 定 程度 上 提高 防火 墙 的 性 能 。 


05.07.02 分 组 结构 解析 


为 了 防止 非法 分 组 的 流入 和 流出 ， 防 火 墙 会 对 分 组 的 首部 和 有 
效 载 位 进行 结构 解析 ， 解 析 的 主要 项 目 如 下 所 示 。 


IP 首部 解析 


IPv4 首部 格式 如 图 5-16 所 示 ， 其 中 成 为 防火 墙 解析 对 象 的 部 
分 如 表 5-13 所 示 。 


0 3 4 .8 15 16 31 





图 5-16 IPv4 首部 

表 5-13 ”以 太 网 数据 帧 和 IPv4 首部 的 解析 内 容 
以 太 网 | 确认 以 太 网 数据 帧 首部 上 的 Type 域 为 0x0800 时 表示 IPv4， 此 
类 型 与 | 时 IP 首部 上 的 版 本 信息 也 为 4。 该 域 为 0x86DD 则 表示 IPv6，IP 
IP 版 本 | 首部 上 的 版 本 信息 也 为 6 
IP 首部 确认 必 备 数据 域 是 否 完 整 ， 并 验证 其 中 的 分 组 长 度 是 否 与 实际 


验证 该 字段 是 否 为 0， 如 果 为 0 则 丢弃 该 分 组 





发 送 源 
确认 是 否 存在 Land 攻击 区 


址 
总 妆 
和 | 确定 是 否 存在 Ping of Death 攻击 了 


标志 
位 、 分 | 丢弃 无 法 进行 分 片 的 分 组 。 
片 偏 移 






据 域 “| 丢弃 存在 无 用 可 选 数 据 域 的 分 组 。 


6 一 种 使 用 相同 的 发 送 源 、 目 的 主机 和 端口 发 送 分 组 到 某 
台 机 强 的 攻击 ， 会 使 存在 源 洞 的 机 占有 角 演 。 译 者 注 


L1 一 种 拒绝 服务 的 攻击 ， 有 具体 做 法 是 攻击 者 故意 发 送 大 于 
65535 字 节 的 卫 分 组 给 接收 方 。 译 者 注 


TCP 首部 解析 











TCP 首部 格式 如 图 5-17 所 示 ， 其 中 成 为 防火 墙 解 析 对 象 的 部 
分 如 表 5-14 所 示 。 


序列 号 


数据 偏 移 | 。( 保留 域 ) 





图 5-17 TCP 首部 


表 5-14 TCP 首部 的 解析 内 容 








上 认 必 备 数据 域 胡 























有 认 表 示 TCP 首部 长 度 的 Data Offset 数据 域 的 值 是 否 为 5 以 下 
TCP 首部 长 度 最 小 为 5 字符 =20 字 节 ) 





























和 认 发 送 源 的 端口 号 以 及 目的 地 端口 号 是 否 关 
检查 SYN、ACK 等 TCP 首部 内 的 标志 位 是 否 存在 组 



































UDP 首部 解析 
UDP 首部 解析 的 对 象 如 表 5-15 所 示 。 
表 5-15 UDP 首部 的 解析 内 容 


确认 必 备 数据 域 是 否 完整 、 是 否 被 中 途 截 断 











确认 是 否 有 校 验 和 错误 








05.07.03 ”安全 区 域 


大 多 数 的 防火 墙 中 都 有 安全 区 域 (Security Zone， 人 简称 为 区 
域 》 的 概念 ， 即 将 防火 墙 上 物理 接口 以 及 逻辑 接口 分 配 至 不 同 
的 区 域 中 ， 也 就 是 将 与 防火 墙 连 接 的 网 段 分 别 划 分 到 不 同 的 区 
域 中 。 其 中 ， 一 个 网 络 接口 不 能 属于 多 个 区 域 (图 5-18) 。 


在 同一 区 域内 可 以 目 由 进行 基本 通信 ， 但 路 区 域 的 通信 必须 符 
合 安全 策略 才能 完成 。 防 火 墙 也 能 够 通过 安全 策略 设置 发 送 源 
或 及 送 目 的 地 等 条 件 ， 根 据 是 否 符合 这 些 条 件 来 判断 位 于 同一 
区 域内 的 通信 和 是 否 可行 。 








Sales 区 域 


rom 









Untrust 区 域 
Ethernet1/3 







互联 网 Ethernet1/1 内 部 网 络 
Ethernet1 tunnell 
loopback1 
Ethernet1/5 < 
客户 端 
公开 服务 器 Trust 区 域 


DMZ 区 域 


图 5-18 区 域 划分 示例 


区 域名 所 分 配 的 网 络 接口 
称 (举例 ) 


Trust |Ethernetl/1、 可 信赖 的 公司 内 部 网 络 区 域 。 一 般 使 用 默 
tunnel1、loopback1l | 认 设 置 


公司 外 剖 ) 络 区 域 。 一 上 








向 外 部 公开 的 服务 器 所 使 用 的 区 域 。 一 般 
0 访问 的 区 域 ， 是 由 


信任 区 域 
公司 内 部 网 络 等 ， 需 要 由 组 织 内 的 防火 增 来 保护 的 网 络 一 般 称 




















为 信任 区 域 (trusted zone) 或 内 部 区 域 ， 意 思 就 是 “被 信赖 的 
区 域 ”。 


不 信任 区 域 


与 信任 区 域 相对 的 是 外 部 网 络 ， 如 互联 网 等 ， 一 般 被 称 为 不 信 
任 区 域 (Untrust Zone) 或 外 部 区 域 。 不 信任 区 域 的 意思 束 
是 “不 被 信赖 的 区 域 ”。 


文 持 区 域 划分 的 防火 墙 可 以 根据 默认 的 安全 策略 仅 执行 默认 拦 
A 
通信 。 


DMZ 


DMZ 的 意思 是 非 武装 区 域 (DeMilitarized Zone) ， 网 络 中 的 
DMZ 是 指 由 防火 墙 划 分 的 、 放 置 了 对 外 公开 服务 器 的 网 段 ， 
该 区 域 与 内 部 网 络 是 分 离开 的 。 


为 了 防止 受到 攻击 ， 从 外 部 网 络 访问 内 部 网 络 的 通信 一 般 都 会 
被 防火 墙 拦 截 ， 但 是 服务 器 中 还 存在 Web 服务 器 这 类 对 外 公 
开 的 服务 器 ， 对 于 这 类 服务 器 的 访问 就 不 能 一 味 地 拦截 了 。 但 
如 果 将 这 类 服务 器 放置 在 内 部 网 络 中 ， 一 旦 遭 到 外 部 网 络 用 户 
的 恶意 入 侵 ， 便 会 导致 拥有 重要 数据 的 内 部 网 络 对 外 敞开 大 

站 


因此 ， 将 需要 对 外 公开 的 服务 器 放置 在 DMZ 中 ， 即 使 该 服务 
人 





目 定 义 区 域 


虽然 信任 区 域 、 不 信任 区 域 、DMZ 在 防火 墙 中 常 被 使 用 ， 但 
区 域 也 能 够 根据 其 具体 内 容 、 安 全 策略 描述 以 及 便于 管理 员 管 
理 的 目的 目 定 义 名 称 ， 如 “人 事 部 区 域 ? 或 “销售 部 区 域 " 等 ， 这 
些 由 管理 员 重 新 划分 并 目 命 名 的 区 域 成 为 自 定 义 区 域 (Custom 


Zone) 。 








05.07.04 ”安全 策略 


防火 墙 的 主要 功能 是 访问 控制 ， 即 判断 是 否 允 许 特定 发 送 源 与 
特定 目的 地 之 间 进 行 特定 的 通信 。 访 问 控制 通过 设置 “规则 ”来 
实现 ， 每 一 条 规则 都 指定 了 需要 控制 的 发 送 源 、 目 的 地 以 及 通 
信和 内 容 等 信息 。 在 路 由 器 中 ， 这 类 访问 控制 的 规则 集合 称 

为 “访问 控制 列表 ”， 而 在 防火 墙 中 则 一 般 称 为 "安全 策 

上 略 ? 或 “安全 规则 。 


路 由 器 的 访问 控制 列表 


访问 控制 列表 以 行为 单位 定义 规则 ， 一 般 一 个 规则 整体 会 使 用 
多 行 来 定义 ， 每 一 行 的 规则 称 为 表 项 ”。 


一 个 表 项 一 般 由 触发 对 象 〈trigger object) 、 行 为 (action) 、 
可 选项 (option) 这 3 个 要 素 组 成 。 


例如 ， 以 Cisco IOS 中 为 标准 的 访问 控制 列表 表 项 只 允许 发 送 
源 IP 地 址 作为 触发 对 象 ， 而 行为 则 是 在 也 只 许可 〈permit) 和 
拒绝 (deny) 之 间 二 选 一 。 


扩展 后 的 访问 控制 列表 可 以 将 下 面 这 些 参数 作为 触发 对 象 。 


IP 协议 号 、 发 送 源 IP 地 址 、 目 的 地 IP 地 址 、ToS 数据 
域 、ICMP 类 型 、ICMP 代码 、ICMP 消息 、 发 送 源 
TCP/UDP 端口 号 、 目 的 地 TCP/UDP 端口 号 、TCP 会 话 是 
否 已 经 建立 


访问 控制 列表 表 项 中 的 可 选项 表示 当 满 足 条 件 〈 触 发 对 象 ) 

时 ， 可 以 指定 “记录 日 志 ? 或 “ 表 项 有 效 时间 段 ?等 操作 。 如 宁 使 
用 了 有 效 时 间 段 选项 ， 就 能 够 设置 一 个 只 以 公司 上 班 时 间 为 对 
象 的 访问 控制 列表 表 项 。 


例如 ， 人 允许 从 IP 地 址 为 10.1.1.2 的 客户 端 向 卫 地 址 为 


172.16.1.1 的 服务 器 进行 Telnet 连接 (TCP 端口 为 23) 时 ， 访 
问 控制 列表 如 下 所 示 。 


access-list 161 permit tcp host 16.1.1.2 host 172.16.1.1 eq telne| 

















表 5-16 Cisco IOS 中 扩展 访问 控制 列表 的 命令 





access-list access-list-number [dynamic dynamic-name [timeout 
minutes ]] {deny | permit} protocol source source-wildcard destination 
destination-wildcard [precedence precedence | [tos tos ] [log | log- 
input] [time-range time-range-name | 


access-list access-list-number [dynamic dynamic-name [timeout 
minutes ]] {deny | permit} icmp source source-wildcard destination 
destination-wildcard [icmp-type | [licmp-type icmp-code | | [icmp- 
message ]] [precedence precedence] [tos tos] [log | log-input] [time- 


range time-range-name | 


access-list access-list-number [dynamic dynamic-name [timeout 
minutes ]] {deny | permit} tcp source source-wildcard [operator [port ]] 
destination destination-wildcard [operator [port ]] [established ] 
[precedence precedence] [tos tos] [log | log-input] [time-range time- 
range-name | 


access-list access-list-number [dynamic dynamic-name [timeout 
minutes]] {deny | permit} udp source source-wildcard [operator [port 
]] destination destination-wildcard [operator [port ]] [precedence 
precedence] [tos tos] [log | log-input] [time-range time-range-name ] 











注 1: 粗 体 字 表示 关键 字 ， 和 斜体 字 表 示 可 选项 。 


表 5-17 Cisco IOS 中 访问 控制 列表 命令 参数 一 览 











access-list- 
number 


dynamic 
dynamic- 
name 

[timeout 
minutes ] 


destination 
destination- 
wildcard 


[icmp-type | 
[Licmp-type 
icmp-code | | 
[icemp- 
message ]] 


[operator 
[port ]] 








访问 控制 列表 编号 。 扩 展 ACL 时 ， 可 以 使 用 100 到 199 (或 从 
2000 到 2599) 之 间 的 值 


如 果 是 “timeout 10”， 表 示 空 闲 超 时 时 间 为 10 分 钟 ， 即 会 话 
如 果 在 10 分 钟 内 没有 进行 任何 通信 就 将 该 会 话 之 后 的 通信 拦 
截 。 如 果 使 用 了 dynamic 关 键 字 ， 则 表示 通信 开始 10 分 钟 后 
会 话 仍 然 有 效 



































指定 拒绝 (deny) 或 接受 (permit) 














指定 IP 首 部 内 表示 协议 号 的 数值 。 对 于 ICMP、TCP、UDP 
等 可 以 使 用 icmp、tcp、udp 等 文字 序列 作为 关键 字 











指定 发 送 源 地 址 。 在 source 部 分 指定 网 络 地 址 ， 并 可 以 于 
source-wildcard 处 指定 掩 码 取 反 的 通配符 

例 : “10.1.1.0 0.0.0.255” 表 示 10.1.1.0/24 的 地 址 

“host 10.1.1.1” 表 示 10.1.1.1/32 的 地 址 

“any” 表 示 所 有 发 送 源 地 址 

















表示 发 送 目 的 地 的 地 址 。 在 destination 部 分 指定 网 络 地 址 ， 
并 可 以 于 source-wildcard 处 指定 掩 码 取 反 的 通配符 

例 : “10.1.1.0 0.0.0.255” 表 示 10.1.1.0/24 的 地 址 

“host 10.1.1.1” 表 示 10.1.1.1/32 的 地 址 
“any” 表 示 所 有 目的 地 址 








指定 ICMP 的 类 型 或 代码 
例 : “8” 表 示 Echo Request (ICMP Type 8) 


“30” 表 示 Destination Unreachable (ICMP Type 3 的 Code 0) 
“echo-replay” 表 示 Echo Replay (ICMP Type 0) 











如 果 记 述 于 “source source-wildcard” 之 后 ， 指 定 的 是 发 送 源 
端口 ， 记 述 于 “destination destination-wildcard” 之 后 则 指定 的 
是 目的 地 端口 。“port” 部 分 可 以 填写 端口 编号 或 “ftp” 这 种 应 
用 程序 文字 列 。 “operator" 部 分 可 以 指定 “tt (小 

于 ) ”、“gt (大 于 ) ”、“eq (等 于 ) ”、meq (不 等 

于 ) ” “range〈 包 含 范围 ) ”中 任意 一 个 类 型 

例 : “eq 23” 表 示 当 端口 号 等 于 23 时 的 情况 

“gt 1023” 表 示 端 口号 大 于 1023 时 的 情况 











[established] 


[precedence 
precedence | 


[tos tos | 


[time-range 
time-range- 
name | 





表示 TCP 会 话 的 建立 过 程 已 经 完成 ， 即 在 收 到 SYN 消 息 后 ， 
后 续 收 到 的 消息 会 携带 ACK 或 RST 比 特 位 相 一 致 的 分 节 数 据 











指定 IP 首 部 内 IP precedence 的 值 。 该 值 可 以 是 从 0 到 7 的 数 
字 ， 也 可 以 是 文字 序列 。 例 : 
“precedence 0” 表 示 JP precedence 的 值 为 0 


“precedence priority” 表 示 IP precedence 的 值 为 1 




















指定 IP 首 部 内 ToS 数 据 域 的 值 ， 该 值 可 以 是 从 0 到 15 的 数字 ， 
也 可 以 是 文字 序列 。 例 : “tos 0 表示 ToS 值 为 0 
“tos min-delay” 表 示 ToS 值 为 8 














“og” 关 键 字 用 来 告知 路 由 器 当 收 到 与 访问 控制 列表 中 规则 
一 致 的 分 组 时 ， 需 要 在 控制 端口 输出 日 志 信 息 。“log 
input” 的 部 分 则 表示 还 需要 将 输入 网 络 接 口 和 发 送 源 MAC 地 
址 的 相关 信息 一 同 输出 。 该 参数 一 般 用 于 调试 模式 











指定 访问 控制 列表 生效 的 时 间 段 。*“time-range” 命 令 后 还 可 
以 添加 一 个 给 指定 时 间 段 定义 的 新 名 称 
例 : 指定 平日 中 午 12 点 至 13 点 生效 








(config)# time-range Lunch time 


(config-time-range)# periodic weekday 12:66 to 13:66 

















这 里 访问 控制 列表 中 输入 的 是 “time-range Lunch_time” 这 一 
键 字 

















注 1: 粗 体 字 表 示 关键 字 ， 斜 体 字 表示 可 选 内 容 。 
防火 墙 的 安全 策略 


防火 载 的 安全 策略 与 路 由 需 的 访问 控制 列表 最 大 的 不 同 点 在 于 
是 否 拥有 区 域 的 概 仿 。 大 多 数 防火 墙 将 区 域 作为 触及 对 象 。 


男 外 ， 新 一 代 防 火 墙 中 的 触发 对 象 还 包括 了 应 用 程序 名 称 和 用 


户 名 称 等 信息 。 





访问 控制 列表 和 安全 策略 都 是 按照 表 中 由 上 往 下 的 顺序 依次 进 
行 评 估 。 例 如 在 表 5-18 所 示 的 范例 中 ， 从 信任 区 域 向 不 信任 
区 域 的 192.168.2.1 地 址 通信 时 ， 防 火 墙 首 先 评 估 第 1 条 安全 
策略 ， 检 测 出 发 送 源 地 址 和 该 策略 中 定义 的 不 同 ， 因 此 未 执行 
Allow 行为 。 接 着 评估 第 2 条 安全 策略 ， 发 送 源 地 址 和 策略 定 
义 相 匹配 ， 因 此 执行 Deny 行为 ， 也 就 是 拒绝 该 通信 。 防 火 墙 
的 这 种 安全 策略 评估 行为 也 可 称 为 安全 策略 查找 (policy 
lookup) 。 


表 5-18 安全 策略 的 范例 




















如 果 将 触发 对 象 设置 为 "Any” 则 表示 触发 对 象 是 任何 值 都 与 策 
略 相 匹配 。 


在 表 5-18 所 示 的 范例 中 ， 并 没有 从 信任 区 域 辐 DMZ 区 域 进行 
通信 的 表 项 。 0 略 表 中 的 通信 行为 ， 
防火 墙 默 认 执 行 拒绝 的 行为 ， 这 一 决策 称 为 “默认 的 拒 

绝 ”(implicit deny) ， 路 自 器 的 访问 控制 列表 同伴 也 可 以 执 

行 “默认 的 拒绝 ”。 


当 需 要 防火 墙 在 没有 匹配 的 情况 下 也 执行 允许 行为 时 ， 可 以 像 
表 5-19 所 示 那 样 ， 在 安全 策略 的 最 后 一 行将 触发 对 象 均 设置 
为 “Any”， 然 后 将 行为 设置 为 “allow”。 


表 5-19 在 最 后 一 行 设置 alow 末 略 的 范例 
TT TT TT | 




















发 送 源 地 址 | 目的 地 | 目的 地 端 | 行为 
址 口 


3 ma 


防火 墙 可 设置 的 安全 策略 也 会 有 一 定 的 上 限 ， 该 上 限 由 产品 规 








格 决 定 。 当 需要 进行 安全 策略 评估 的 表 项 越 来 越 多 时 ， 设 备 的 
性 能 也 会 随 之 下 降 。 至 于 设备 性 能 会 下 降 到 何 种 程度 ， 则 需要 
对 在 设置 完 安全 策略 后 ， 策 略 最 终 行 命 中 的 情况 下 ， 所 能 得 到 
的 通信 吞吐 量 与 没有 配置 任何 安全 策略 时 能 得 到 的 通信 大 吐 量 
进行 比较 ， 方 能 得 出 结论 。 


内 容 安全 策略 


区 域 、IP 地 址 、 病 口号、 应 用 程序 等 都 可 以 作为 防火 墙 判断 是 
于 允许 进 行 通信 的 安全 策略 依据 。 力 外 ， 在 UTM 以 及 新 一 代 
0 打上 略 规 则 完成 对 特定 通信 的 控 
| 。 


有 具体 而 言 ， 该 策略 使 用 了 反 病 毒 、IPS〈 入 侵 防 御 系 统 ) 、 
URL 过 滤 、DLP 〈 数 据 泄露 防护 ) 等 基于 内 容 的 安全 机 制 ， 能 
够 拦截 非法 通信 和 避免 不 必要 的 通信 流量 。 男 外 ， 通 过 该 筑 
防火 墙 还 也 可 以 对 这 些 通信 不 实施 拦截 ， 而 是 将 其 记录 到 告 
日 志 中 后 放行 。 


安全 设备 (OS) 的 初始 设置 一 般 都 设置 成 拦截 〈drop ) 严重 程 
度 (Severity) 高 的 攻击 ， 严 重 程度 低 的 攻击 只 记录 到 告警 日 
当然 ， 用 户 也 能 够 通过 修改 设置 拦截 严重 程度 低 的 攻 








另外 ， 反 病毒 以 及 IPS 可 能 会 发 生 误 判 。 误 判 分 为 假 阳 性 
(false-positive 错误 型 和 假 阴 性 (false-negative) 错误 刀 两 
类 

从。 




















3 来 自 于 生物 学 ， 可 以 简单 理解 为 验证 某 事物 为 P 
一 一 详 者 注 





性 ( 真 ) 时 ， 出 现 了 错误 。 


个 






























































可 以 简单 理解 为 验证 某 事物 为 阴性 〈 假 ) 时 ， 出 现 了 错误 。 
一 一 译 者 注 





假 阳 性 错误 是 指明 明 没有 攻击 行为 (或 病毒 入 侵 ) ， 却 被 网 络 
安全 装置 判断 为 存在 攻击 行为 (或 病毒 入 侵 ) ， 并 将 该 行为 记 
录 到 日 志 中 ， 或 者 之 间 将 通信 拦截 。 一 般 这 类 错误 容易 被 用 户 


或 管理 员 察 觉 。 


假 阴 性 错误 是 指明 明 存 在 攻击 行为 ， 却 判断 为 没有 攻击 行为 。 
结 末 不 仅 完 成 了 通信 ， 也 没有 将 通信 该 行为 记录 到 日 志 中 ， 导 
致 管理 员 即 使 得 看 安全 设备 的 日 志 信 息 也 无 法 穴 沉 这 一 严重 后 
果 。 只 有 检查 作为 客户 端的 个 人 计算 机 上 安 闭 的 反 病 毒 软件 或 
个 人 防火 墙 ， 才 能 找到 这 些 没有 被 安全 设备 防范 的 通信 的 信 

恩 。 总 之 ， 假 阴性 错误 一 般 部 是 由 于 数字 签名 本 里 不 存在 ， 或 
误 认 为 数字 签名 存在 而 导致 的 检测 失败 。 

















05.07.05 NAT 


使 用 私有 卫 地 址 、 位 于 内 部 网 络 的 客户 端 同 位 于 外 部 网 络 

(互联 网 ) 的 服务 器 进行 通信 时 ， 可 以 通过 路 由 器 或 防火 墙 将 
发 送 浙 的 私有 IP 地 址 转换 为 全 局 卫 地 址 ， 这 一 转换 过 程 称 为 
NAT” 。 


20 全 称 为 Network Address Translator。 译 者 注 





NAT 原本 是 由 为 路 由 口 提 供 的 功能 ， 不 过 现在 位 于 网 络 边界 

处 的 防火 墙 也 帝 帝 使 用 该 项 功能 为 用 户 服务 。 路 由 器 和 以 及 防 

火 墙 等 运行 NAT 功能 的 装置 在 后 文 都 将 统称 为 网 关 
(gateway) 。 


静态 NAT 


静态 NAT (Static NAT) 是 指 将 NAT 之 前 的 地 址 和 NAT 之 后 
的 地 址 进行 1 对 1 的 分 配 ， 由 管理 员 将 信息 设置 到 网 关中 。 管 
理 员 根据 转换 前 的 地 址 在 网 关中 设置 一 个 指定 地 址 ， 该 指定 地 
址 即 成 为 转换 后 的 地 址 信息 。 带 态 NAT 在 进行 目的 地 NAT 时 
经 常 使 用 ， 能 够 对 外 部 网 络 屏蔽 内 部 服务 器 的 地 址 ， 从 而 避免 
内 部 网 络 受 到 攻击 。 


NAT 转 换 表 
3.3.3.1 一 192.168.10.1 


3.3.3.2 一 192.168.10.2 
下 珊 珊 机 


192.168.10.1 三] 
上 192.168.10.254 Eg 3.3.3.254 
网 关 互联 网 


服务 器 
发 送 源 ”目的 发 送 源 ”目的 
地 址 地 址 地 址 地 址 
| 一 RR 


转换 后 的 分 组 原始 分 组 





例 : 发 送 源 地 址 3.3.3.1 转 换 为 192.168.10.1。 
发 送 源 地 址 3.3.3.2 转 换 为 192.168.10.2。 


图 5-19 静态 NAT 的 流程 
动态 NAT 


动态 NAT 的 方式 是 首先 给 网 关 指 定 一 个 名 为 IP 地 址 池 (IP 
address pool) 的 卫 地址 范围 ， 在 NAT 所 需 会 话 建立 时 ， 地 址 
池内 的 IP 地 址 将 会 顺序 分 配 成 为 转换 后 的 卫 地址 。 由 于 地 址 
范围 能 够 由 管理 员 通 过 设置 进行 更 改 ， 因 此 该 方式 应 用 于 需要 
进行 NAT 的 对 象 比较 多 的 情况 。 


虽然 和 静态 NAT 类 似 ， 私 有 地 址 与 全 局 地 址 存在 1 对 1 的 映 

射 关 系 ， 但 是 通过 动态 NAT 转换 后 的 地 址 不 是 由 管理 员 设 

置 ， 而 是 动态 分 配 的 、 在 IP 地 址 池内 排序 靠 前 的 有 效 地 址 
(图 5-20) 。 





NAT 转 换 表 
192.16821.2 一 22201 
192.168.1.1 一 2.2.2.2 


| | IP 地 址 池 
2,2.2;1"52.2.2.10 | 

SE — 192.168.1.2 

2.2.2.254 CC SA 

< 
i 
192.168.1.1 192.168.1.3 

互联 网 网 关 客户 端 


例 : 将 发 送 源 IP 地 址 通过 范围 是 2.2.2.1~2.2.2.10 的 IP 地 址 池 进 行 转换 。 
将 第 一 个 到 达 网 关 的 分 组 的 发 送 源 IP 地 址 192.168.1.2 转 换 为 2.2.2.1。 
@) 将 第 三 个 到 达 网 关 的 分 组 的 发 送 源 IP 地 址 192.168.1.1 转 换 为 2.2.2.2。 
( 由 于 该 地 址 池 中 最 多 有 10 个 地 址 ， 因 此 最 多 人 允许 10 个 客户 端 连接 到 互联 网 ) 


图 5-20 动态 NAT 的 流程 
发 送 源 NAT 


发 送 源 NAT (Source NAT) 是 指 对 发 送 源 的 IP 地 址 进行 NAT 
转换 。 


位 于 公司 内 部 网 络 《〈 私 有 网 络 ) 、 使 用 私有 卫 地 址 的 客户 端 
在 作为 发 送 源 将 数据 发 送 至 网 关 时 ， 必 须 将 私有 IP 地 址 转换 
为 全 局 地 址 才能 访问 外 部 互联 网 上 的 服务 需 。 


与 互联 网 上 的 服务 器 进行 通信 必须 使 用 全 局 IP 地 址 ， 但 由 于 
IPv4 地 址 处 于 枯竭 状态 ， 因 此 无 法 为 互联 网 上 的 每 台 客 户 端 都 
分 配 一 个 全 局 IP 地 址 。 而 在 大 多 数 情况 下 ， 人 发送 源 NAT 能 够 
通过 动态 NAT 方式 节约 全 局 IP 地 址 资源 ， 因 此 通过 在 网 关上 
设置 地 址 池 ， 或 者 在 网 关 的 网 络 接口 处 使 用 NAPT (后 文 会 介 
绍 ) ， 也 可 以 实现 从 私有 网 络 访问 互联 网 的 功能 。 


由 于 从 外 部 网 络 只 能 查询 全 局 地 址 信息 ， 因 此 发 送 源 NAT 还 
能 够 隐藏 客户 端 实际 分 配 到 的 IP 地址 ， 从 而 降低 直接 受到 外 
部 网 络 攻击 的 风险 。 而 且 通 常 是 由 网 关 来 完成 NAT 转换 工 
作 ， 因 此 访问 控制 列表 的 管理 也 变 得 非常 简单 〈 图 5-21) 。 





NAT 转 换 表 
192.168.1.1 一 2.2.2.1 
192.168.1.2 一 2.2.2.2 


holalad 





192.168.1.1 
2 192.168.1.254 | 
互联 网 网 关 客户 端 
发 送 源 目的 发 送 源 目的 
地 址 地 址 地 址 地 址 
| 一 
转换 后 的 分 组 原始 分 组 
图 5-21 发 送 源 NAT 的 流程 
目的 地 NAT 


目的 地 NAT (Destination NAT) 是 指 对 发 送 目的 地 的 卫 地 址 
进行 NAT 转换 。 


位 于 互联 网 等 公司 外 部 网 络 的 客户 端 ， 想 要 通过 网 关 访 问 位 于 
公司 内 部 网 络 的 服务 器 时 ， 需要 进行 目的 地 NAT。 由 于 公司 
内 部 服务 器 一 般 使 用 分 配 好 的 内 网 地 址 ， 因 此 无 法 从 互联 网 直 
接 路 由 到 。 这 时 ， 网 关 可 以 作为 该 内 部 服务 器 的 代理 ， 定 义 全 
局 地 址 ， 并 将 来 自 外 部 网 络 的 客户 剖 访 问 转移 到 该 全 局 地 址 
上 。 网 关 接收 到 目的 地 为 全 局 地 址 的 分 组 后 ， 将 该 分 组 的 目的 
地 址 再 转换 为 内 部 服务 器 所 拥有 的 实际 私有 地 址 ， 从 而 完成 路 
由 。 公 司 内 部 的 服务 名 通常 会 放置 在 DMZ 区 域 中 (图 5- 
22 78 





NAT 转 换 表 
3.3.3.1 一 192.168.10.1 


3.3.3.2 一 192.168.10.2 





192.168.10.1 





192.168.10.254 3.3.3.254 
互联 网 网 关 客户 端 
发 送 源 ”目的 发 送 源 ”目的 
地 址 地 址 地 址 地 址 
一 
转换 后 的 分 组 原始 分 组 


图 5-22 目的 地 NAT 的 流程 
NAPT/IP 伪装 /PAT 


当 只 能 使 用 1 个 全 局 地 址 同 外 部 网 络 进行 通信 ， 或 者 可 用 的 全 
局 地 址 少 于 内 部 网 络 的 客户 端 数量 时 ， 网 关 无 法 完成 私有 地 址 
和 全 局 地 址 的 1 对 1 分 配 。 


这 种 情况 下 ， 网 关 需 要 结合 使 用 TCP 或 UDP 端口 号 ， 完 成 将 
多 个 私有 地 址 映射 成 1 个 全 局 地 址 的 转换 (图 5-23) 。 


192.168.10.1 一 4.4.4.1:10001 
192.168.10.2 一 4.4.4.1:10002 








192.168.10.1 
192.168.10.2 
192.168.10.3 
发 送 源 ”目的 ”发 送 源 目 的 地 发 送 源 ”目的 发 送 源 目的 地 
地 址 ”地址 端口 端口 地 址 地址 端口 ”端口 
a 12.11 10001 | 50 [| + [a00 107 [444- | 32111] 90 [到 
转换 后 的 分 组 原始 分 组 
发 送 源 ”目的 发 送 源 目的 地 发 送 源 ”目的 发 送 源 目的 地 
地 址 地 址 端口 ”端口 地 址 地 址 ”端口 ”端口 
21 e111 90] 10007 RR | * [17211] 60 101 [80132111] 下 
返回 的 分 组 原始 分 组 





图 5-23 NADTVIP 伪装 /PAT 的 流程 


这 种 转换 方式 称 为 NAPT (Network Address Port Translation ， 

网 络 地 址 端口 转换 ) ， 是 动态 NAT 的 一 中 ， 在 Linux 中 称 为 

IP 伪装 (IP Masquerade ) ， 在 一 部 分 网 络 重 件 中 也 箭 尔 为 

PAT (Port Address Translation， 端 口 地 址 转换 ) 、NAT 重 载 
CNAT overloading) 、 单 一 地 址 NAT 或 端口 级 NAT 复 用 等 。 


MIP 与 VIP 


Juniper 公司 的 ScreenOS 中 还 使 用 了 MIP (Mapped Internet 
Protocol， 了 映射 网 络 协议 ) 和 VIP (Virtual Internet Protocol， 虚 
拟 网 络 协议 ) 两 个 NAT 术语 。 


MIP 是 指 将 1 个 IP 地 址 映射 成 另 1 个 下 地 址 (1 对 1 分 
配 ) ， 同 静态 NAT 类 似 ， 主 要 用 于 目的 地 NAT 转换 。 


VIP 则 是 基于 目的 地 端口 号 的 静态 NAT。 


ScreenOS 中 动态 NAT 所 使 用 的 IP 地 址 池 称 为 DIP (Dynamic 
IP Pool， 动 态 IP 池 ) 。 


05.07.06 VPN 


VPN (Virtual Private Network) 的 意思 是 虚拟 私有 网 络 半 。 所 
谓 的 私有 网 络 是 指使 用 私有 IP 地址 、 位 于 组 织 内 部 的 网 络 ， 

即 Intranet。 而 VPN 则 是 使 用 公共 互联 网 或 者 电信 运营 商 提 供 
的 公共 网 络 ， 廉 价 构建 Intranet 的 技术 。 


并 或 虚拟 专 有 网 。 一 一 译 者 注 


位 于 Intranet 中 的 管理 数据 、 人 事 信息 、 技 术 信 息 等 对 于 外 部 
而 言 属于 机 密 的 信息 ， 必须 在 组 织 内 部 封闭 地 进行 数据 传输 。 
当 组 织 只 有 1 个 办 公 场 所 时 ， 可 以 通过 LAN 完成 Intranet 的 构 
建 。 但 如 果 有 类似 于 东京 总 部 和 大 阪 分 部 这 类 路 地 理 位 置 的 分 
支 机 构 时 ， 就 不 得 不 在 这 些 地 理 位 置 不 同 的 办 公 场 所 之 间 完 成 
Intranet 的 构建 与 连接 。 对 于 这 类 情况 ， 在 上 世纪 90 年 代 之 
前 ， 是 通过 签约 、 租 用 电信 运营 商 提供 的 “专线 ”服务 来 完成 
Intranet 构建 的 。 顾 名 思 义 ， 这 个 “专线 ”是 属于 租用 方 单独 使 
用 的 线路 ， 因 此 在 专线 内 不 会 出 现 其 他 公司 的 数据 ， 也 无 需 担 




















心 第 三 方 对 该 专线 中 的 数据 进行 镭 听 ， 通 信 质 量 也 能 得 到 保 
障 。 但 是 专线 的 月 租 费 用 很 品 ， 尤 其 古 禹 冤 为 几 Mbits 以 上 的 
广域网 线路 ， 租 用 费用 更 是 不 菲 。 


1995 年 左右 ， 与 互联 网 的 连接 开始 通过 使 用 廉价 终端 适配器 
的 ISDN 进行 。2000 年 左右 ， 随 着 ADSL 这 种 互联 网 接 入 服务 
的 普及 ， 使 用 广域网 接 入 互联 网 的 成 本 越 来 越 低 ， 利 用 互联 网 
ee Intranet 节点 的 做 法 也 开始 体现 出 很 强 的 成 本 
这 一 时 期 ， 路 由 器 、 防 火 墙 、VPN 专用 装置 都 可 以 支持 IPsec- 
VPN 功能 ， 在 各 个 节点 之 间 使 用 这 些 设备 创建 IPsec 隧道 并 进 
行 连接 ， 就 可 以 完成 VPN 的 构建 (这 一 时 期 将 支持 IPsec- 
VPN 的 设备 统称 为 VPN 装置 ) 。 

根据 拓扑 对 VPN 分 类 


站 点 间 VPN 








站 点 间 VPN (site-to-site VPN) 是 在 两 个 网 络 之 间 通 过 
IPsec 隧道 进行 连接 的 拓扑 结构 。 在 每 个 网 络 的 网 关中 都 
设 有 路 由 器 或 防火 墙 等 VPN 装置 ， 二 者 之 间 也 建 有 IPsec 
两 个 VPN 装置 之 间 使 用 的 是 点 对 点 的 拓扑 结构 

(图 5-24) 。 
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图 5-24 站 点 间 VPN 的 组 成 


这 里 提 到 的 网 络 是 指 位 于 东京 的 总 部 网 络 或 者 位 于 名 十 屋 
分 部 的 任意 站 点 中 的 网 络 。 因 为 是 站 点 《site) 之 间 的 连 
接 ， 所 以 称 为 站 点 间 VPN。 


中 心 辐射 型 VPN 


中 心 辐射 型 VPN (hub and spoke VPN) 是 星 形 拓扑 结 

构 ， 即 将 1 个 中 心 站 点 的 硬件 同 多 个 远程 站 点 的 硬件 连接 
而 构成 的 结构 (图 5-25) 。 中 心 站 点 〈center site) 放置 总 
部 的 网 络 与 数据 中 心 ， 成 为 整个 组 织 的 核心 站 点 。 该 拓扑 
结构 同 自行 车 的 飞轮 和 辐 条 组 成 的 结构 类 似 ， 因 此 命名 为 
hub and spoke VPN”。 该 类 型 VPN 一 般 用 于 服务 供应 商 
提供 的 VPN 业务 ， 以 服务 供应 丙 的 基础 设施 为 中 心 站 

点 ， 通 过 VPN 连接 整个 组 织 的 其 他 站 点 。 
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图 5-25 中心 辐 射 型 VPN 的 组 成 
远程 接 入 型 YPN 


用 户 使 用 个 人 计算 机 上 的 软件 ， 在 家 中 或 在 外 出 时 经 由 互 
联网 与 公司 的 VPN 装置 建立 IPsec 隧道 ， 进 而 访问 公司 内 
部 服务 器 的 拓扑 结构 称 为 远程 接 入 型 YPN (图 5-26) 。 


远程 接 入 型 的 IPsec-VPN 子 类 型 需要 实现 中 ， 个 人 计算 机 
安装 VPN 客户 端 软件 ， 而 SSL-VPN 子 类 型 则 是 通过 Web 
浏览 器 使 用 SSL 连接 至 公司 的 VPN， 通 过 

SSL (CHTTPS) 连接 与 公司 内 部 服务 器 进行 交互 。 






IPsec 隧道 


VPN 软 件 





图 5-26 ”远程 接 入 型 VPN 的 结构 


2 自行 车 车 轮 的 结构 ， 飞 轮 俗称 “ 飞 ”"， 英 语 为 hub， 辐 条 俗称 “轮胎 钢丝 ”"， 英 语 为 
spoke。 一 一 译 者 注 


IPsec-VPN 


IPsec-VPN 是 使 用 IPsec 协议 的 VPN 连接 ， 主 要 用 于 在 站 点 间 
VPN 以 及 中 心 辐 射 型 VPN 中 提供 经 由 互联 网 连接 到 站 点 的 安 
全 连接 。 表 5-20 中 总 结 了 在 IPsec-VPN 中 所 使 用 的 协议 及 其 
重要 功能 。 


表 5-20 IPsec VPN 中 使 用 的 技术 术语 


IPsec 通信 时 与 通信 对 方 建立 的 逻辑 连接 
Association ) 














将 原始 分 组 按 DES/3DES/AES 等 任意 一 个 算法 进行 加 


ESP (Encapsulating | 窗 。 通 过 HMAC 确 定 是 否 被 算 改 。 使 用 的 IP 协 议 号 
Security Payload) ”| 为 50 








“| 根据 HMAC 信 息 确认 分 组 是 否 被 算 改 的 认证 协议 。 
人 Authentication | 不 对 分 组 进行 加 密 。 使 用 的 亿 协 议 号 为 51。 在 不 使 
用 加 密 通 信 的 国家 使 用 


IPsec 加 密 时 用 来 交换 key 信 息 的 协议 ， 也 称 为 
IKE (Internet Key |ISAKMP/Oakley。 在 ISAKMP 协 议 上 实现 Oakley 的 
Exchange) key 交 换 过 程 。 使 用 UDP 端口 号 为 500。 分 为 阶段 
(phase ) 1 和 阶段 2 进行 处 理 


0 用 来 验证 信息 是 否 被 算 改 的 一 种 MAC (消息 认证 
es 2 码 ) ， 使 用 散 列 函数 通过 与 密 钥 信息 (password) 的 
ssage 组 合计 算 而 得 。 其 中 散 列 函 数 使 用 的 散 列 算法 一 般 


Authentication 为 MD5 或 SHA-1 
code) 































































































SPI (Securit 表示 SA 的 编号 ， 值 为 32bit。 在 对 分 组 进行 加 密 时 ， 
. 将 该 值 代入 其 中 ， 表 示 使 用 了 何 种 加 密 算法 与 密 钥 


Pointer Index) 出 
信息 














通过 ESP 进 行 加 密 的 分 组 由 于 没有 TCP/UDP 首 部 ， 
此 无 法 使 用 NAPT。 这 时 就 需要 使 用 NAT traversal 技 
术 给 ESP 加 密 后 的 分 组 添加 UDP 首部 ， 从 而 在 NAPT 
环境 下 也 能 够 进行 IPsec 通信 。 一 般 使 用 500 或 4500 的 
目的 地 端口 号 | 

A NAT traversal 默 认 使 用 的 端口 号 生 1 


乔 、 功能 也 端 
厂商 、NAT a 能 的 


Check Point Software 
Technologies VPN-1 
SecuRemote 

NAT traversal IPsec Transport Encapsulation 
Protocol 


Cisco Systems VPN3000 NAT- |UDP 端口 
4500 
Juniper Networks 的 SSG 系 列 毅 口 


UDP 端口 
其 他 厂 音 
其 但 厂商 500 或 4500 
























































UDP 端口 
2746 























注 1: NAT traversal 使 月 号 也 可 以 通过 设置 来 更 改 。 

















s IPsec-VPN 连接 


在 建立 IPsec 隧道 的 通信 双方 中 ， 发 起 协商 的 一 方 称 为 发 
起 者 〈initiator) ， 另 一 方 称 为 应 答 者 〈responder) 。 


发 起 者 是 最 先 发 出 通过 IPsec 隧道 分 组 的 网 络 装置 。 


在 阶段 1 使 用 aggressive 模式 时 ， 如 果 远 程 站 点 装置 使 用 
动态 卫 地 址 、 通 过 PPPoE 连接 互联 网 的 话 ， 由 于 中 央 站 
点 装置 无 法 预知 远程 站 点 装置 的 IP 地 址 ， 因此 远程 站 点 
装置 将 成 为 发 起 者 。 这 种 情况 下 ， 需 要 由 远程 站 点 一 侧 的 
客户 端 开始 整个 通信 过 程 。 


Rekey 





IPsec 隧道 在 建立 后 ， 需 要 定期 进行 rekey《〈 更 新 key) 操 
作 。rekey 操作 每 经 过 一 定时 间或 每 当 有 一 定量 的 数据 在 
隧道 上 法 过 后 就 会 进行 。 


大 多 数 VPN 装置 提供 了 调整 rekey 进行 时 间 的 功能 


从 故障 排 得 角度 来 看 ， 发 起 者 和 应 答 者 之 间 也 是 采取 相同 
的 机 制 比较 好 。 


成 为 发 起 者 的 VPN 装置 如 果 提 前 设置 了 a 进行 时 间 
的 话 ， 一 般 就 会 从 该 装置 开始 整个 协商 过 程 。 


站 点 间 VPN 的 通信 处 理 


以 网 络 A 与 网 络 B 为 例 ， 网 络 A 与 网 络 B 之 间 通 过 IPsec 
隧道 完成 连接 ， 位 于 网 络 A 内 的 PC-A 想 要 癌 位 于 网 络 B 
内 的 PC-B 进行 通信 。 


PC-A 发 起 通信 请 求 后 ， 通 过 路 由 器 或 交换 机 将 分 组 发 送 
到 网 关 VPN 装置 A 处 ， 这 时 该 分 组 尚未 加 密 ， 处 于 
明文 (clear text) 状态 。 分 组 通过 VPN 装置 A 进行 加 

， 并 添加 ESP 首部 与 在 隧 道内 通信 用 的 IP 首部 “〈 称 为 
IP 地 址 (outer IP) ) 后 ， 通 过 IPsec 隧道 发 送出 
二 


网 络 B 中 的 VPN 装置 B 通过 IPsec 隧道 接收 到 加 密 的 分 
组 后 ， 会 校 验 检查 ESP 首部 与 AH 首部 。 虽 然 根据 设置 可 
能 会 有 所 不 同 ， 但 一 般 来 说 如 果 ESP 序列 号 不 正确 ， 











VPN 装置 B 就 会 将 该 分 组 判定 为 重 放 攻击 并 输出 错误 信 
晨 ，SPI 值 如 果 不 正确 则 会 输出 “Bad SPI” 的 错误 通知 信 


4 O 


如 果 加 密 分 组 一 切 正常 ， 则 开始 执行 解密 操作 ， 去 除外 部 
IP、ESP、AH 等 首部 ， 并 对 原来 IP 首部 〈 称 为 内 部 IP 首 
部 ) 中 的 目的 地 址 进行 路 由 ， 从 而 到 达 PC-B 处 。 


PC-B 向 PC-A 回复 的 消息 由 VPN 装置 B 进行 加 密 处 理 ， 
VPN 装置 A 进行 解密 处 理 。 


另外 ， 中 心 辐 射 型 VPN 中 远程 站 点 客户 端 和 中 央 站 扣 服 
务 器 之 间 的 VPN 通信 也 可 以 参照 上 述 流程 模式 。 


远程 站 点 之 间 的 通信 处 理 


以 远程 站 点 A 和 远程 站 点 B 为 例 。 远 程 站 点 A 内 的 PC-A 
同 远程 站 点 B 内 PC-B 进行 通信 时 ， 需 要 利用 位 于 远程 站 
点 A 的 VPN 装置 A、 位 于 远程 站 点 B 的 VPN 装置 B， 

以 及 位 于 中 央 站 点 的 VPN 装置 C。 


分 组 通过 VPN 装置 A 与 VPN 装置 C 之 间 的 IPsec 隧道 
后 ， 再 途经 VPN 装置 C 与 VPN 装置 B 之 间 的 IPsec 隧 
道 ， 最 终 到 达 PC-B。 在 这 个 过 程 中 ， 远 程 站 点 的 VPN 装 
置 处 理 与 站 点 间 VPN 装置 的 处 理 过 程 如 出 一 轩 。 


位 于 中 央 站 点 的 VPN 装置 则 需要 完成 解密 和 加 密 两 项 处 
理 。 置 于 中 央 站 点 的 路 由 器 或 VPN 专 用 装置 ， 一 般 只 进行 
解密 、 加 密 以 及 路 由 选择 处 理 。 但 置 于 中 央 站 点 的 防火 墙 
则 在 分 组 解密 后 还 会 对 其 进行 更 为 精确 的 检查 ， 仪 对 安全 
性 有 保障 的 分 组 进行 加 密 ， 然 后 再 回 远程 站 点 发 送 。 


基于 策略 的 VPN 


路 由 器 以 及 大 多 数 VPN 装置 都 使 用 基于 策略 的 VPN 功 
能 。 基 于 策略 的 VPN 是 指 根 据 策 略 〈( 访 问 控 制 列表 ) 信 
居 选 择 经 过 IPsec 隧道 的 通信 流量 ， 这 样 即使 路 径 发 生变 
化 也 不 会 对 IPsec 通信 造成 影响 。 











基于 策略 的 VPN 需要 设置 执行 IPsec 的 策略 与 proxyID 信 
上 息 。PproxyID 用 于 指定 IPsec 隧道 内 传输 分 组 的 本 地 网 络 
和 远程 网 络 。 


例如 ， 站 点 A 与 站 点 B 之 间 使 用 站 点 则 VPN 构建 网 络 ， 
其 中 站 点 A 网 络 为 192.168.1.0/24 和 192.168.2.0/24， 站 点 
B 为 192.168.3.0/24 和 192.168.4.0/24。 


如 果 只 在 192.168.1.0/24 和 192.168.3.0/24 之 间 进 行 加 密 通 
信 的 话 ， 需 要 在 站 点 A 的 VPN 装置 处 设置 本 地 proxyID 
为 192.168.1.0/24， 远 程 proxyID 配置 为 192.168.3.0/24。 
在 站 点 B 的 VPN 装置 处 设置 本 地 proxyID 为 
192.168.3.0/24， 远 程 proxyID 为 192.168.1.0/24。 


基于 路 由 的 VPN 


基于 路 由 的 VPN 是 Juniper 公司 的 NetScreen/SSG 系列 以 
及 Palo Alto 公司 的 PA 系列 防火 增产 品 采 用 的 VPN 类 
型 。 


该 类 型 VPN 适用 于 需要 防火 墙 对 IPsec 分 组 也 进行 精确 控 
制 的 情况 。 


在 基于 路 径 的 VPN 中，IPsec 隧道 的 起 点 称 为 隧道 接口 

(tunnel interface) ， 通 信 流 量 通 过 该 虚拟 接口 流入 IPsec 
隧道 。 如 果 有 通信 流量 需要 在 IPsec 隧道 内 传输 ， 就 可 以 
通过 设置 路 由 选择 ， 转 发 至 隧道 接口 处 即 可 。 


基于 路 由 的 VPN 同样 可 以 使 用 策略 进行 控制 。 


基于 策略 的 VPN 中 使 用 策略 来 决定 是 否 将 某 分 组 作为 
IPsec 通信 的 对 象 ， 而 基于 路 由 的 VPN 则 根据 隧道 接口 的 
路 由 信息 来 决定 是 否 进行 IPsec 通信 。 因 此 在 进行 IPsec 
通信 时 ， 也 可 以 和 处 理 普 通 分 组 一 样 ， 通 过 策略 来 定义 分 
组 过 滤 和 防火 墙 处 理 等 。 


阶段 1 





在 IPsec 通信 中 为 了 建立 加 密 隧 道 的 SA (Security 
Association) ， 需 要 在 各 便 件 之 间 使 用 IKE 协议 完成 密 钥 
的 交换 。 

为 了 提高 安全 性 ，IKE 协商 分 为 阶段 1 和 阶段 2 两 部 分 完 
成 。IKE 阶段 1 需要 完成 认证 SA 建立 双方 、 生 成 阶段 2 
所 需 公 有 密 钥 ， 建 立 ISAKMP2 SA 等 工作 。 表 5-21 总 结 
了 阶段 1 使 用 的 各 个 参数 信息 。 


表 5-21 IPsec 阶段 1 使 用 的 参数 




















main 模 式 在 main 模 式 中 ， 使 用 IP 地 址 来 标识 硬件 。 隧 ; 

an 5 | 终 庙 的 两 个 VPN 装 置 如 果 是 固定 分 配 的 Ip 地 

区 `_ | 址 ， 融 可 以 使 用 main 模 式 。 而 如 果 一 个 终端 的 

异 SE “| 硬件 是 使 用 PPPoE 或 DHCP 自 动 获得 到 地 址 ， 则 
二 需要 使 用 aggressive 模 式 


使 用 公共 机 构 发 行 的 安全 证 书 〈Certificate ) 安 
全 性 较 高 ， 但 手续 麻烦 
预 共享 密 钥 (Pre Shared Key) 就 是 隧道 两 端的 
硬件 使 用 相同 口令 登录 的 方法 ， 引 入 非常 简单 
使 用 数字 证 书 时 ， 需 要 指定 密 钥 的 类 型 (RSA 
或 DSA) 和 长 度 (bit 数 ) 。 一 般 密 钥 长 度 在 
512/768/1024/2048bit 中 任 选 ， 而 bit 数 越 大 安全 
性 就 越 强 
















































































group 1 简称 为 DH， group 数 字 越 大 表示 在 Oakley 密 钥 
P _、 | 交换 时 使 用 的 公有 密 钥 强度 越 高 。group 1 的 长 








group 2、 | 度 为 768bit，group 2 的 长 度 为 1024bit，group 5 
的 长 度 为 1536bit 
可 以 选择 密 钥 长 度 为 56bit 的 DES、 密 钥 长 度 为 
168bit 的 3DES 或 者 密 钥 长 度 为 1228/192/256bit 的 
AES， 其 中 AES 的 使 用 比较 普遍 。 密 钥 长 度 越 
长 强度 越 高 ， 处 理 也 就 越 耗 费时 间 


MD5 使 用 128bit、SHA-1 使 用 160bit 的 散 列 值 进 
行 数 据 的 认证 。 像 SHA-1 这 这 种 使 用 的 散 列 值 
越 长 ， 不 同 数据 之 间 因 散 列 计算 结果 相同 而 造 
成 散 列 “冲突 ”的 可 能 性 就 越 低 

用 于 识别 作为 执行 IKE 对 象 的 硬件 的 标识 符 

大 多 使 用 也 地 址 ， 也 有 使 用 FQDN{24[Fully 
Qualified Domain Name， 即 正式 域名 。 译 
者 注 ]} 等 作为 标示 符 的 













































































a 阶段 2 


IKE 阶段 2 负责 生成 IPsec 通信 时 使 用 的 密 钥 并 建立 IPsec 
SA。 表 5-22 总 结 了 阶段 2 使 用 的 各 个 参数 信息 。 


表 5-22 IPsec 阶段 2 使 用 的 参数 





AH 只 能 用 来 认证 ，ESP 则 能 够 进行 认证 
加 富 处 型， 日 本 几乎 都 是 使 用 ESP， 而 禁 
对 通信 加 密 的 国家 则 选择 AH 的 居多 






































通过 IPsec 构建 VPN 时 使 用 隧道 模式 。 
在 终端 之 间 建 立 IPsec 隧道 时 则 使 用 透明 模式 














指定 ESP 协 议 是 仅 用 于 加 密 处 理 还 是 同时 用 
i 
































点 重 放 选 项 后 ，IPsec 隧 道 将 检查 接收 到 
的 加 密 分 组 的 序列 号 信息 el 
确 的 分 组 ， 并 通过 记录 日 志 告知 管理 员 
该 功能 主要 用 重 放 攻击 ， 即 获取 加 密 
分 组 的 内 容 后 次 发 送 相 同 内 容 来 “ 算 
改 * 原 有 分 组 顺序 的 攻击 


该 选项 用 于 防止 某 密 钥 成 为 破解 其 他 密 钥 的 
线索 。 点 选 PFS 选 项 后 ， 当 IPsec SA 密 钥 生 
成 /更 新 时 会 再 次 执行 Diffie-Hellman 算 法 ， 
同时 与 阶段 1 一 样 ， 选 择 Diffie-Hellman 的 
group 类 型 






















































































23 Internet Security Association and Key Management Protocol 。 


SSL-VPN 


SSL-VPN 是 一 种 通过 浏览 器 使 用 HTTPS (HTTP over 
SSL) 进行 安全 Web 访问 的 远程 接 入 型 VPN。 


2000 年 左右 ， 远 程 接 入 型 IPsec-VPN 一 般 应 用 于 企业 
中 ， 如 果 个 人 计算 机 想 要 使 用 ， 则 需 事 先 安 装 并 设置 专用 
的 客户 端 软件 。 由 公司 管理 的 个 人 计算 机 尚 能 够 解决 软件 


的 安装 问题 ， 但 是 对 于 不 文 持 该 客户 端 软件 的 Mac OS、 
移动 终端 等 操作 系统 、 以 及 希望 在 家 中 或 漫画 咖啡 厅 等 地 
点 使 用 非 公司 管理 的 计算 机 连接 VPN 的 用 户 来 说 ， 往 往 
不 具备 相应 的 客观 条 件 。 男 外 ， 在 VPN 的 链 路 中 如 果 存 
在 防火 墙 ，VPN 连接 也 有 可 能 因为 被 防火 墙 过 滤 掉 IPsec- 
A 的 协议 编号 或 NAT traversal 使 用 的 端口 号 而 导 
致 失败 。 


2003 年 左右 随 着 SSL-VPN 技术 的 出 现 ， 只 要 个 人 计算 机 
带 有 浏览 器 ， 就 能 够 通过 反问 代理 方式 《reverse proxy) 
完成 VPN 的 连接 。 更 加 值得 称道 的 是 SSL-VPN 使 用 的 是 
几乎 所 有 防火 墙 都 不 会 拦截 的 、 用 于 HTTPS 的 443 端 

口 ， 这 使 得 VPN 远程 连接 摆脱 了 操作 系统 和 连接 方式 的 
限制 。 表 5-23 中 总 结 了 IPsec-VPN 和 SSL-VPN 的 不 同 之 
处 。 


表 5-23 IPsecVPN 和 SSL VPN 的 比较 








远程 接 入 型 IPsec- 
VPN SSL-VPN 














客户 端 软 件 ， 只 需 带 有 Web 浏 览 器 即 






































在 将 要 通过 的 防火 

者 中 需要 设置 多 个 防火 墙 允 许 通 过 的 HTTPS (TCP443) 端 
安全 策略 (IKE、 

ESP 用 的 端口 等 ) 。 









































在 NAT 环 境 下 需要 | 示 总 
NAT traversal 过 程 。 不 受 NAT 环 境 限制 








村 注 将 本 
要 注意 MIU 人 不 受 MTU 尺 寸 限于 





en 























需要 管理 个 人 计算 
机 。 





分 组 首部 小 于 SSL- 立 
pS 组 首部 较 大 ， 数 据 吞 吐 量 较 低 





= Et | 使 用 反 向 代理 以 及 端口 转发 方式 (port 
1 forwarding) 时 只 有 TCP 协 议 上 特定 的 应 用 程 
J 序 可 以 支持 隧道 传输 。 使 用 隧道 方式 时 网 
， 以 上 的 所 有 协议 都 支持 隧道 传输 



























































IPsec-VPN 在 网 络 层 上 实现 ， 因 此 能 够 完成 所 有 TCP 和 
UDP 通信 的 加 密 与 隧道 传输 处 理 。 而 SSL-VPN 在 会 话 层 
实现 ，SSL 通信 在 基于 TCP 的 443 端口 运行 (图 5- 
27) 。 反 向 代理 方式 以 及 端口 转发 方式 只 能 对 特定 的 几 类 
TCP 通信 进行 隧道 传输 。 对 于 包含 ICMP 和 UDP 等 传输 
层 通信 想 要 进行 隧道 传输 时 ， 只 能 选择 隧道 方式 。 


IPsec-VPN 




















SSLVPN We 应用 导 
SMTP|— 人 ssSL 会 话 层 





- SSL 传输 层 
网 络 层 











数据 链 路 层 
物理 层 








图 5-27 IPsec-VPN 通信 与 SSL-VPN 通信 的 不 同 点 
。 反 向 代理 方式 


反 回 代理 方式 也 称 为 无 客户 端 SSL-VPN。 


SSL-VPN 集中 堪 〈 终 问 装 置 ) 在 443 号 端口 上 通过 
HTTPS 完成 对 加 密 通 信 的 解密 工作 后 ， 转 换 为 80 号 
端口 的 HTTP 通信 和 与 内 部 网 络 上 的 Web 服务 器 进行 
交互 。 该 方式 只 有 基于 使 用 80 号 端口 、 通 过 浏览 需 
浏览 web 的 应 用 程序 才能 使 用 。 


在 内 部 客户 端 访 问 互 联网 时 进行 中 继 的 代理 服务 器 称 
为 转发 代理 服务 器 。 如 采访 问 方向 相反 ， 即 在 互联 网 
上 的 客户 端 访 问 内 部 网 络 服务 器 时 进行 中 继 的 代理 服 
务 器 则 称 为 反 同 代理 服务 器 (reverse proxy) 。 使 用 

a 以 组 成 相同 的 


端口 转发 方式 
端口 转发 方式 也 称 为 瘦 客 户 端 SSL-VPN。 


该 方式 使 用 ActiveX 或 Java applet 等 浏览 器 插件 来 创 
建 个 人 计算 机 与 服务 器 之 间 的 SSL 隧道 。 用 户 只 需 
要 登录 Web 门户 (SSL-VPN 网 关 ) 并 完成 认证 ， 就 
能 够 下 载 相 关 插 件 。 通 过 设置 操作 系统 内 部 通讯 处 
理 ， 用 户 能 够 使 用 位 于 公司 内 部 网 络 特定 服务 器 上 的 
应 用 程序 ， 也 能 够 使 用 端口 固定 且 无 需 浏 览 器 文 持 的 
TCP 应 用 程序 (如 E-mail) 。 有 些 产品 还 能 够 支持 端 
口号 变动 的 应 用 和 UDP 应 用 程序 等 。 


Juniper 公司 的 SA 系列 产品 便 提 供 了 类 似 的 功能 ， 命 
名 为 SAM (Security Application Manager) ， 而 且 
SAM 还 分 为 对 应 Java applet 版 的 JSAM 和 对 应 
ActiveX 版 的 WSAM 两 种 。 


F5 公司 的 FirePass 也 提供 了 名 为 App Tunnel 的 类 似 
RES 








隧道 方式 是 使 用 SSL-VPN 客户 端 软 件 的 方式 。 


隧道 方式 和 IPsec-VPN 一 样 ， 文 持 网 络 层 以 上 所 有 协 
议 的 隧道 传输 。 


用 户 通过 浏览 器 访问 SSL-VPN 硬件 并 完成 认证 后 ， 

便 会 使 用 Java 等 程序 自动 下 载 相关 安全 功能 的 应 用 

程序 并 安装 在 用 户 的 个 人 计算 机 上 。 接 下 来 与 IPsec- 
VPN 一 样 ， 通 过 客户 并 软件 建立 个 人 计算 机 和 SSL- 
VPN 设备 之 间 的 隧道 ， 但 是 由 于 应 用 程序 的 设置 能 
够 在 SSL-VPN 便 件 上 进行 ， 安 装 和 执行 也 能 够 实现 
自动 化 ， 因 此 隧道 方式 在 管理 上 相当 便捷 。 虽 然 不 同 
的 厂商 不 能 一 概 而 论 ， 但 由 于 使 用 了 客户 端 软件 ， 还 
是 会 不 可 避免 地 受到 操作 系统 的 限制 。 


表 5-24 各 厂商 隧道 方式 的 功能 名 称 











厂商 、 产 品名 称 SSL-VPN 隧 道 方式 的 功能 名 称 
Cisco Systems ASA 系 列 、IOS |SSL VPN CLIENT 











Juniper Networks SA 系列 Network Connect CNC ) 
Palo Alto Networks NetConnect、GlobalProtect 


表 5-25 主要 的 SSL VPN 集中 器 产品 





照片 〈《 某 系列 产品 中 的 1 个 型 号 ) 


SSL-VPN 专 用 装置 





SA 系列 
(基于 

Neoteris 公 

司 的 产品 ) 





可 Juniper 





Gateway 


DELL 





SonicWALL 


Aventail 系 ee::: 


Barracuda 
SSL-VPN 


Array 
Networks 


AG 系 列 


Check Point 
系列 


Cisco 
Systems 


ASA5500 系 
列 





Palo Alto 
Networks 


PA 系列 


I 
















防火 墙 、 UTM 产 品 





Fortinet < 


Fortigate 系 Ts es 
Sanss esse sor : 汪 
列 2 尝 证 = 六 


外 








注 1: 同时 连接 的 用 户 数 是 指 在 相同 系列 产品 中 能 够 支持 连接 的 用 户 数 
的 范围 。 照 片 中 的 产品 型 号 能 够 支持 该 范围 内 的 其 中 任何 一 个 数目 。 
另外 ， 也 有 些 产品 会 根据 购买 的 许可 证 〈license) 内容， 对 支持 的 最 大 
连接 用 户 数 做 出 相应 调整 。 























客户 端 服务 器 


Hello Request 





Client Hello 


Server Hello 





Server Certificate* 





Server Key Exchange* 


Certificate Request* 





Server Hello Done 





Client Certificate* 


Client Key Exchange 


Certificate Verify* 
Finished 





Finished 





* 为 可 选项 
图 5-28 SSL 会 话 建立 的 序列 
。 主 机 检查 


支持 主机 检查 (Host Checker) 功能 的 SSL-VPN, 在 
客户 问 同 SSL-VPN 装置 连接 时 ， 能 够 对 所 连接 的 客 


户 端 主机 进行 检查 ， 通 常会 检查 以 下 信息 。 
表 5-26 主机 检查 所 涉及 的 内 容 范 例 


esos a. 检查 反 病毒 软件 的 签名 版 本 信息 


0 检查 特定 的 进程 是 否 局 动 ( 人 硬盘 加 密 
软件 以 及 日 志 收 集 软件 等 ) 




















了 ack 的 种 分 查 特定 的 注册 信 


TC 


如 果 主 机 检查 结果 OK， 则 允许 客户 端的 SSL-VPN 
连接 ， 这 时 就 能 够 从 公司 外 部 网 络 访问 内 部 网 络 。 如 
果 结 果 为 NG ， 则 拒绝 客户 端的 SSL-VPN 连接 ， 
或 者 只 能 进行 软件 升级 等 特定 范围 内 的 访问 操作 。 


主机 检查 大 多 使 用 由 OPSWAT 公司 开发 的 工具 ?来 
完成 。 











2 FirePass 于 2012 年 停止 销售 ， 其 后 继 产 品 BIG-IP APM/EDGE 也 提供 了 与 
动态 App Tunnel 类 似 的 功能 





26 即 No Good。 一 一 译 者 注 





2 2002 年 成 立 的 一 家 位 于 美国 的 私营 公司 ， 以 提供 安全 有 关 的 软件 产品 以 
及 认证 出 名 。 一 一 译 者 注 














05.07.07 “Dos 防御 
什么 是 DoS 攻击 ? 


DoS 是 Denial of Service 的 简称 ， 也 束 是 无 法 继续 提供 服 
务 的 意思 。 这 里 的 服务 是 指 服 务 器 提供 的 应 用 程序 服务 ， 
如 客户 端 发 起 HTTP 请 求 时 ， 服 务 占 如 果 能 够 做 出 HTTP 
响应 就 表明 能 够 完成 HTTP 服务 。DoS 攻击 是 针对 服务 器 
以 及 网 络 硬件 发 起 的 攻击 ， 使 服务 器 以 及 网 络 硬件 无 法 完 
成 正常 的 应 答 响 应 ， 从 而 使 应 用 服务 程序 无 法 继续 提供 服 





务 。 因 此 ，DoS 攻击 也 称 为 停止 服务 攻击 "或 "服务 障碍 
en, 


这 就 好 比 明 明 没 有 事 要 找 别人 ， 却 频繁 按 别 人 家 的 门铃 后 
逃走 ， 将 DoS 攻击 理解 为 这 种 “门铃 恶作剧 ?可 能 会 更 加 容 
易 。 由 于 别人 的 家 人 不 知道 这 是 恶作剧 ， 听 到 门铃 声 后 ， 
也 频 党 跑 到 大 门口 来 确认 ， 结 果 惑 造成 家 里 的 事情 ， 

如 “做 饭 * 等 家 务 〈( 家 中 日 常 所 要 做 的 事情 被 搁置 一 劳 。 
有 了 时， 骚扰 邮件 也 能 算 作 是 DoS 攻击 的 一 种 。 在 DoS 
中 ， 通 过 僵尸 网 络 的 多 个 跳板 〈 即 僵尸 ) ， 对 服务 器 发 起 
攻击 的 方式 称 为 DDoS (Distributed Denial of Service ) 攻 
让 


由 于 服务 器 以 及 网 络 硬件 的 处 理 能 力 总 归 是 有 上 限 的 ， 如 
果 在 某 一 时 刻 出 现 大 量 访问 请 求 ， 则 会 造成 服务 器 或 网 络 
人 硬件 因 瞬 间 繁 忙 而 无 法 处 理 。 由 于 这 类 突 发 状况 在 正常 业 
务 状态 下 也 有 可 能 发 生 ， 因 此 在 设计 时 往往 会 根据 预计 的 
访问 数量 来 配备 相应 的 处 理 能 力 。 


DDoS 攻击 能 够 制造 出 远 超 于 预先 设计 的 访问 量 ( 通 信 
量 ) ， 从 而 使 得 被 攻击 的 系统 进入 无 法 提供 服务 的 状态 。 


另外 ，Dos 攻击 也 可 以 通过 利用 操作 系统 或 程序 的 脆弱 性 
《如 安全 漏洞 等 ) ， 以 少量 的 通信 流量 使 系统 发 生 异 着 。 


Dos 攻击 的 种 类 
防火 墙 会 针对 各 类 不 同 的 DoS 攻击 做 出 防范 对 策 。 
表 5-27 列 出 了 主要 的 DoS 攻击 种 类 。 


表 5-27 主要 的 DoS 攻击 种 类 





攻击 名 称 


向 攻击 对 象 发 送 大 量 的 TCP SYN 分 组 ， 从 而 造成 服务 器 
资源 过 度 消 耗 ， 一 段 时 间 内 不 能 提供 服务 的 状态 
































在 防火 墙 内 定义 每 秒 允许 通过 防火 墙 的 SYN 分 组 数量 ， 


























当 防 火 墙 遇 到 网 络 中 SYN 分 组 超过 该 域 时 ， 便 会 执行 一 
种 称 为 SYN Cookie 的 策略 来 应 对 。SYN Cookie 策 略 中 

Syn Flood | 当 服 务 器 收 到 来 自 客户 端的 SYN 分 组 时 ， 并 不 建立 TCP 
连接 ， 而 是 将 TCP 首 部 内 容 的 散 列 值 作为 序列 号 放 入 
SYN-ACK 消 息 中 返回 。 随 后 收 到 来 自 客户 端 包含 正确 
响应 编号 的 ACK 消 息 时 ， 才 将 会 话 信息 存储 在 内 存 中 。 
因此 ， 能 够 有 效 防止 修改 了 首部 内 容 的 分 组 攻击 对 服务 
器 内 存 的 消耗 


也 称 为 ping flood， 该 攻击 向 攻击 对 象 发 送 大 量 的 ICMP 
ICMP echo request 分 组 来 消耗 服务 器 内 存 ， 使 得 服务 器 进入 暂 
Flood 时 无 法 提供 服务 的 状态 。 防 火 墙 通过 定义 1 秒 内 能 够 允 
























































许 的 最 大 ICMP 分 组 数量 ， 对 于 超过 该 值 的 ICMP 分 组 暂 
时 不 予 处 理 


该 攻击 向 攻击 对 象 发 送 大 量 的 UDP 分 组 来 消耗 服务 器 内 
UDp Flood | 存 ， 使 得 服务 器 进入 暂时 无 法 提供 服务 的 状态 。 防 火 墙 
通过 定义 1 秒 内 能 够 允许 的 最 大 UDP 分 组 数量 ， 对 于 超 
























































过 该 值 的 UDP 分 组 暂时 不 予 处 理 




















通过 定义 1 秒 内 能 够 多 许 的 最 大 IP 分 组 数量 ， 对 于 超过 


该 攻击 向 攻击 对 象 发 送 大 量 的 了 分 组 来 消耗 服务 器 内 
jp Flood | 存 ， 使 得 服务 器 进入 暂时 无 法 提供 服务 的 状态 。 防 火 二 
该 值 的 耳 分 组 暂时 不 予 处 理 














自己 转发 数据 而 进入 当 机 的 状态 。 防 火 墙 对 于 收 到 的 这 


该 攻击 向 攻击 对 象 发 送 源 地 址 和 目的 地 址 相同 的 分 组 。 
1 and | 受到 这 类 攻击 、 自 身 又 较为 脆弱 的 硬件 ， 会 因为 不 断 向 
类 分 组 一 律 丢弃 


当 机 的 状态 。 防 火 墙 对 于 收 到 这 类 分 组 时 ， 一 律 丢 弃 


该 攻击 向 攻击 对 象 发 送 超 过 IP 分 组 最 大 长 度 65535 的 
ping of ping (ICMP echo request) 信息 。 这 类 攻击 对 于 较为 脆 
1 弱 的 硬件 而 言 ， 会 导致 其 无 法 运行 的 情况 发 生 。 防 火 墙 


该 攻击 向 攻击 对 象 发 送 经 过 伪造 的 ， 含 有 重 营 偏 移 量 
Tear Do | 《offset》 的 非法 IP 分 组 碎片 。 这 类 攻击 对 于 较为 脆弱 的 
P | 硬件 而 言 ， 会 发 生 无 法 重新 生成 分 组 的 现象 发 生 ， 导 致 
































对 于 收 到 的 这 类 分 组 一 律 丢弃 





该 攻击 将 攻击 对 象 的 地 址 设置 为 发 送 源 地 址 ， 并 广播 发 
Smurf 送 ICMP Echo Request 消 息 ， 使 得 攻击 对 象 的 地 址 因 收 
到 大 量 ICMP Echo Reply 消 息 而 消耗 带宽 资源 




















时 于 Smurf 攻 击 的 子 类 型 ， 使 用 UDP 取 代 ICMP 发 起 攻 
FF， 并 同时 利用 echo、Chargen.、 daytime、 qotd 等 多 种 
端口 。 防 火 墙 一 般 将 关闭 该 类 型 端口 或 使 用 

行 拦截 作为 防范 对 策 






































反复 生成 大 量 长 时 间 为 open 状 态 的 连接 ， 从 而 占据 攻击 


Connection | 对 象 的 套 接 字 〈socket) 资源 。 如 果 服 务 器 端 没 有 最 大 
Flood 连接 数目 的 限制 ， 就 会 发 生 系统 月 溃 。 该 攻击 也 称 为 
Unix 进 程控 制 表 (Unix process table 攻击 

















该 攻击 在 Web 浏 览 器 中 连续 按 下 F5 键 ， 使 得 Web 页 面 反 
复 执 行 刷新 操作 ， 因 此 也 称 为 F5 攻 击 。 在 Web 通 信 较 大 
时 ， 会 让 服务 器 负载 加 剧 























Dos 防御 功能 


Dos 的 防御 功能 也 束 是 限制 被 判定 为 DoS 攻击 的 卉 利 高 
速率 通信 流量 的 功能 ， 一 般 通 过 设置 区 域 、 网 络 接 口 、 网 
络 等 单位 来 实现 。 


另外 ， DoS 防御 也 可 以 拦截 具有 非法 内 容 或 低 安 全 性 的 分 
组 ， 这 类 分 组 交 由 防火 墙 或 下 游 路 由 器 处 理 的 话 ， 1 
额外 资源 的 浪费 (CPU 以 及 内 存 使 用 率 上 升 ) ， 因 此 需 
使 用 专门 的 DoS 防御 功能 来 阻挡 该 类 攻击 。 


端口 扫描 防御 


攻击 者 在 发 起 攻击 前 ， 会 对 攻击 对 象 的 便 件 情况 进行 调 
得 ， ee 用 的 仪 俩 便 古 端口 扫描 (port 
scan) ， 称 为 Port sweep。 端口 扫 搞 六 致 分 为 TCP 端口 
扫描 i UDP 端口 扫描 两 大 类 ， 对 TCP 端口 以 及 UDP 
端口 顺序 发 送 分 组 进行 通信 ， 从 而 探测 目标 机 器 是 否 开启 
了 对 应 的 服务 。 例 如 某 台 设备 的 扫描 结果 为 开启 了 23 号 





端口 ， 攻 击 者 便 会 得 知 该 设备 开局 了 Telnet 服务 ， 从 而 可 
以 利用 Telnet 服务 访问 该 设备 并 发 起 后 续 攻 击 。 


这 类 在 发 起 攻击 前 进行 的 信息 搜集 行为 也 称 为 “ 侦 


查 ”(Reconnaissance) 。 
防火 墙 能 够 探测 出 端口 扫描 行为 的 存在 从 而 阻 断 该 行为 。 
表 5-28 总 结 了 主要 的 端口 扫描 类 型 。 


表 5-28 ”端口 扫描 类 型 





























对 TCP 的 0 号 到 65535 号 端口 全 部 进行 扫描 ， 或 者 是 在 一 定 范 
姑 内 扫描 端口 从 而 探测 服务 器 有 哪些 端口 可 以 使 用 (图 5- 


曾 过 程 是 向 端口 扫描 对 象 服 务 嚣 发送 TCP (SYN) 分 组 ， 
如 果 收 到 了 响应 的 TCP (SYN+ACK) 分 组 ， 则 判定 该 端口 
处 于 打开 状态 。 如 果 该 端口 关闭 ， 则 会 从 服务 器 处 收 到 
TCP (RST+ACK) 分 组 

































































属于 TCP 端 口 扫描 的 一 种 ， 无 需 完 成 3 次 握手 过 程 ， 直 接 针 





对 回复 消息 中 的 SYN 分 组 进行 端口 扫描 ， 也 称 为 半 扫 描 
(half scan) 。 在 3 次 握手 过 程 中 ， 根 据 服务 器 回复 的 是 ACK 
消 息 还 是 RST 消 息 息 来 判断 某 端 口 是 否 打开 


























为 了 回避 防火 墙 对 SYN 靖 口 扫描 的 检测 ， 癌 服务 器 肥 送 ACK 
分 组 ， 根 据 回复 的 RST 分 组 窗口 尺寸 的 大 小 来 判断 端口 开关 
状态 〈 图 5-30) 。 该 类 型 端口 扫描 对 于 在 端口 打开 或 关闭 时 
会 发 送 不 同窗 口 尺寸 分 组 的 服务 器 有 效 














回 服务 器 发 送 TCP 首 部 所 有 标志 位 为 0 的 分 组 ， 人 
是 否 返回 RST+ACK 分 组 消息 来 判断 服务 器 端口 是 否 打 开 














口 扫 ”| 向 服务 器 发 送 FIN 分 组 ， 根 据 是 否 收 到 RST+ACK 分 组 来 判断 
某 端 口 是 否 打开 











向 服务 器 发 送 TCP 首 部 标志 位 均 置 为 1 的 分 组 ， 根 据 是 售 收 
到 RST+ACK 分 组 来 判断 菜 端 口 是 否 打开 





对 UDP 的 0 号 到 65535 号 端口 全 部 进行 扫描 ， 或 这 是 在 一 定 范 
内 扫描 端口 从 而 探测 服务 器 有 哪些 端口 可 以 使 用 





向 大 量 的 主机 发 送 ICMP 分 组 或 TCP 分 组 ， 如 果 获 得 应 答 则 
根据 返回 的 应 答 消 息 判 断 主 机 是 否 存在 ， 并 获得 主机 上 都 运 
行 了 哪些 应 用 程序 等 信息 。TCP SYN Host Sweep 会 同时 向 

台 主 机 的 相同 端口 发 送 TCP SYN 分 组 。sweep 在 这 里 
有 “席卷 "的 意思 











TCP 端 口 打 开 时 


1 
! SYN | 
> 
! SYN+ACK 1 
和 
一 


和 


3 次 握手 结束 


接收 方 
SYN 
RST+ACK 
一 


针对 SYN 分 组 返回 RST 分 组 全 二 过 








TCP 端 口 关闭 时 








图 5-29 根据 TCP 端口 扫描 确认 端口 是 否 打 开 的 方法 


即使 防火 墙 丢 弃 了 SYN 分 组 ， 只 要 ACK 分 组 能 够 通过 防火 墙 ， 
同样 能 够 根据 返回 的 RST 分 组 来 判断 端口 是 否 打 开 





根据 RST 的 窗口 尺寸 来 判断 
端口 是 否 打开 


图 5-30 ”ACK 端口 扫描 

05.07.08 ”防范 基于 分 组 的 攻击 

防火 墙 同 样 能 够 防范 使 用 非法 分 组 这 类 基于 分 组 的 DoS 
攻击 和 非法 入 侵 。 表 5-29 汇总 了 防火 墙 能 够 防范 的 非法 
分 组 攻击 的 主要 类 型 。 

表 5-29 基于 分 组 的 攻击 


EE 


IP 地 址 其 ”| 为 了 突破 限制 访问 的 防火 墙 过 滤器 以 及 避免 被 监控 日 志 
记录 ， 伪 造 IP 首 部 中 发 送 源 IP 地 址 的 攻击 方式 。 在 DoS 
攻击 以 及 非法 入 侵 中 也 会 使 用 














碎片 的 卫 分 组 由 于 安全 性 较为 脆弱 ， 容 易 被 用 于 攻击 ， 
碎片 分 组 “| 因此 防火 场 中 通常 会 设置 拉 截 碎片 分 组 功能 。 但 如 打分 
“| 组 与 通信 链 路 MTU 大 小 一 致 ， 则 不 会 发 生 碎片 ， 该 功 
能 也 不 会 影响 正常 的 通信 

















同 IP 寿 片 分 组 类 似 ， 防 火 墙 也 设置 了 拦截 ICMP 分 组 碎 
片 的 功能 


巨型 ICMP | 通过 设置 防火 墙 拦截 一 定 大 小 以 上 的 ICMP 分 组 ， 从 而 
分 组 避免 Ping of Death 攻 击 








ICMP 分 组 | 根据 ICMP 首 部 中 的 类 型 以 及 代码 值 ， 对 ICMP 分 组 进行 

按 类 控制 | 区 别处 理 。 对 于 在 接收 到 的 消息 中 发 现 消息 首部 出 现 了 
未 预定 义 值 或 未 被 文 持 客 户 端 等 情况 时 ， 需 要 进行 额外 
的 异常 处 理 。 此 时 希望 通过 防火 墙 对 这 类 非法 的 ICMP 
分 组 予以 拦截 





































































































TCP 会 话 开 始 前 ， 必 会 发 送 SYN 分 组 。 如 果 在 尚未 确认 
的 TCP 会 话 中 收 到 了 除 SYN 以 外 的 标志 位 为 1 的 TCP 分 
组 ， 很 有 可 能 就 是 端口 扫描 等 攻击 ， 这 时 就 需要 通过 防 
火 墙 拦截 该 类 分 组 

















IPv6 尚 未 完全 普及 ， 也 可 能 存在 安全 漏洞 。 一 般 来 说 ， 
会 有 目的 地 址 为 IPv6 多 播 或 单 播 地 址 的 通信 ， 但 如 果 出 
现 发 送 源 为 该 类 型 地 址 时 ， 则 有 可 能 是 经 过 伪装 的 分 组 
发 起 的 攻击 。 为 了 防止 意外 泄露 网 络 中 存在 使 用 IPv6 主 
机 现象 发 生 时 ， 可 以 通过 防火 墙 拦截 发 送 源 地 址 为 IPv6 
单 播 或 多 播 的 分 组 


























05.07.09 ”基于 内 容 的 扫描 

2004 年 左右 ， 各 个 厂商 发 布 了 配 有 多 个 基于 内 容 扫 描 功 
能 的 UTM 防火 墙 产 品 。 基 于 内 容 是 指 以 应 用 程序 数据 作 
为 防火 墙 的 监控 对 象 〈 文 件 或 命令 ) 。 


IDS/IPS 





IDS (Intrusion Detection System) 即 入 侵 检 测 系统 ， 

IPS (Intrusion Prevention System ) 即 入 侵 防 御 系 统 ， 二 者 
合 称 为 IDS/IPS。 二 者 共同 的 Intrusion 是 指 怀 有 恶意 的 用 
户 通 过 网 络 或 终端 进行 的 非法 入 侵 行 为 。 


IDS 系统 负责 检测 非法 入 侵 并 告知 系统 管理 员 ， 而 IPS 系 
2 通过 设置 对 非法 入 侵 所 使 用 的 协议 以 及 应 用 程序 进行 


二 者 还 能 够 对 路 由 需 访 问 控制 列表 和 防火 墙 无 法 防范 的 伪 
装 性 正常 访问 子 以 阻止 。 





IDS/IPS 能 够 检测 出 下 列 威胁 。 
。 DoS 攻击 
。 P2P 造成 的 信息 泄露 
。 运行 蠕虫 、 特 洛 伊 木 马 、 键 盘 记 录 器 等 恶意 软件 
。 入 侵 Intranet 与 入 侵 侦 碍 行为 
另外， 当 IDS/IPS 检测 到 入 侵 行为 后 ， 会 做 如 下 处 理 。 
。 通知 管理 员 (通过 电子 邮件 或 SNMP 等 方式 ) 
。 记录 日 志 
。 拦截 通信 ( 同 攻 击 方 发 送 TCP RST 消息 ) 














Deep Inspection 

ScreenOS 带 有 名 为 ALG 的 Deep Inspection 功能 。 

防火 墙 的 Deep Inspection 功能 能 够 针对 表 5-30 中 列 出 的 
应 用 层 协议 ， 重 组 〈assemble) 应 用 程序 数据 流 中 的 TCP 
数据 段 ， 检 测 其 中 是 人 否 包含 了 非法 应 用 程序 参数 。 


表 5-30 实施 Deep Inspection 功能 的 协议 清单 


PPTP APPLFICHAT 





SIP 


zm | | | 





在 FTP 中 ， 还 能 够 通过 允许 /拒绝 策略 来 控制 GET 以 及 
PUT 等 命令 级 别 的 操作 。 


对 于 由 SIP 或 了 .323 这 类 多 协议 以 及 数据 流 组 成 的 应 用 程 
序 通信 ，Deep Inspection 功能 同样 可 以 识别 允许 通过 的 数 
据 流 并 动态 生成 防火 墙 针 孔 (pin hole〉， 即 防火 墙 上 人 允 
许 数据 流通 过 的 小 孔 (在 安全 策略 允许 的 前 提 下 ) 。 以 
SIP 协议 为 例 ， 了 电话 的 语音 数据 通过 RTP (Real-time 
Transport Protocol) 协议 的 哪个 端口 号 来 完成 通话 终端 之 
间 的 信息 交互 ， 是 在 SIP 会 话 控制 中 协商 的 。 这 时 防火 墙 
即使 没有 设置 允许 RTP 使 用 的 端口 ， 但 只 要 设置 了 允许 
SIP 端口 ， 就 会 在 语音 数据 开始 传输 时 自动 打开 RTP 端口 
供用 户 使 用 。 


在 能 够 基于 应 用 程序 识别 的 新 一 代 防 火 墙 中 都 能 完成 上 述 
的 类 似 处 理 。 


IDS/IPS 以 及 Deep Inspection 均 能 够 检测 并 拦截 表 5-31 所 
列 出 的 攻击 类 型 。 


表 5-31 IDS/IPS 能 够 检测 的 攻击 范例 





脆弱 性 攻 
击 类 型 





攻击 者 利用 带 有 恶意 脚本 的 邮件 或 附带 恶意 软件 的 
URL 地 址 发 起 的 攻击 。 攻 击 成 功 的 话 ， 能 够 获取 受 攻 
击 方 的 机 密 信息 











向 服务 器 发 送 非 法 数据 ， 使 得 被 攻击 的 服务 器 接受 并 
执行 位 于 远程 地 理 位 置 的 代码 




















通过 发 送 大量 分 组 使 被 攻击 服务 器 CPU、 内 存 负担 上 
升 ， 妨 碍 服务 器 《或 程序 ) 正常 提供 服务 的 攻击 














偶 注 出 | 通过 恶意 程序 诱导 被 攻击 服务 器 运行 内 存 超过 上 限 ， 


(Buffer 
Overflow) 


导致 缓存 溢出 的 攻击 




















四 针对 Web 应 用 程序 ， 使 用 数据 库 SQL 语 言 对 数据 库 进 行 
SQL 注入 “| 非法 操作 的 攻击 


也 称 为 循环 攻击 ， 使 用 密码 字典 等 工具 反复 党 试管 理 
员 口 令 的 攻击 手法 。 为 了 防止 该 类 攻击 ， 需 要 执行 类 
似 于 口令 3 次 输 错 则 切断 会 话 的 策略 























中 加 全 | 简称 为 CSS 或 XSS。 利 用 Web 应 用 程序 的 脆弱 性 ， 在 提 
击 《Cross。| 交 页 面 表单 时 ， 通 过 服务 器 执行 携带 HTML 标 签 的 肢 


ee | 本 ， 从 而 达到 劫持 会 话 或 钓鱼 的 目的 
cripting ) 






































exploit 攻 击 日 软件 脆弱 性 发 起 的 攻击 中 使 用 的 程序 或 脚本 








ee 总 的 作 的 浏览 和 ， 在 用 户 浏览 Web 页 面 
| 六 和 自动 添加 URL 连 接 以 及 跳 转 他 网 页 失败 的 
情况 


















































使 用 携带 伪造 官方 网 站 站 点 URL 链 接 的 邮件 或 网 站 ， 
骗取 用 户 的 个 人 信用 卡 以 及 银行 账户 信息 











通过 僵尸 程序 感染 多 台 个 人 计算 机 ， 并 根据 攻击 方 命 
僵尸 网 络 | 令 同 时 发 送 垃圾 邮件 和 实施 DoS 等 攻击 。 主 要 通过 使 用 
IRC (Internet Relay Chat) 对 僵尸 下 达 进 攻 命 令 




















e CVE 


IPS 和 Deep Inspection 一 般 会 给 检测 出 的 安全 脆弱 性 
添加 CVE 标识 编号 。 


CVE 〈Common Vulnerabilities and Exposures， 通 用 脆 
弱 性 标识 ) 是 由 美国 政府 文 持 的 非 僵 利 机 构 MITRE 
公司 采用 的 识别 标识 。 该 机 构 会 为 软件 以 及 设备 产品 
发 现 的 安全 脆弱 性 问题 分 配 一 个 CVE 识别 编号 





CCVE-ID) ， 当 安全 厂商 提供 多 个 脆弱 性 防范 对 策 
时 ， 通 过 使 用 该 标识 告知 用 户 某 对 策 针 对 的 是 哪个 安 
全 脆弱 性 问题 。CVE 标识 编号 如 表 5-32 所 示 ， 

以 “CVE-( 公 元 纪年 ) - (4 字符 编号 ) ”的 格式 记 

录 ， 表 明 使 用 该 编号 的 安全 脆弱 性 问题 已 广为人知 。 





表 5-32 ”CVE 识别 编号 范例 


-站 二 
号 

CVE-2006- |FreeBSD nfsd NFS Mount Request Denial of 

0900 Service 

















CVE-2007- |Sun Java Web Proxy Server Buffer Overflow 

2881 Vulnerability 

CVE-2009- |Microsoft Windows WINS Service Heap Overflow 
1923 Vulnerability 


反 病 毒 


反 病 毒 也 称 为 防 病毒 对 策 ， 通 过 在 个 人 计算 机 和 服务 顺 上 
安 六 防 病毒 软件 来 保护 计算 机 免 遭 病毒 侵 洲 。 


在 终端 安 闭 防 病毒 软件 的 方式 称 为 主机 型 防 病毒 。 


而 通过 设置 位 于 互联 网 网 天 的 防火 增 以 及 专用 设备 ， 对 网 
络 上 所 有 传输 的 通信 数据 进行 扫描 的 方式 则 称 为 “网关 型 
防 病毒 ”。 使 用 网 关 型 防 病毒 ， 能 有 效 防止 Intranet 中 病毒 
的 蔓延 以 及 作为 跳板 攻击 网 络 的 发 生 。 


确认 是 个 存在 病毒 的 处 理 操 作 称 为 扫描 《〈scan) 或 病毒 扫 
描 。 主 机 型 防 病毒 的 扫描 在 计算 机 内 进行 ， 而 网 关 型 防 病 
毒 的 扫描 在 通信 流量 中 完成 。 二 者 的 比较 结果 如 表 5-33 
和 表 5-44 所 示 。 


表 5-33 网关 型 防 病毒 的 优点 与 主机 型 防 病毒 的 缺点 


























主机 型 防 病毒 的 缺点 





能 够 对 所 有 客户 端 实 施 相 同 








的 策略 
针对 客户 机 PC 以 及 虚拟 “| 客户 机 PC 以 及 虚拟 PC 无 法 采用 相同 的 
PC 的 对 和 集 安全 策略 





个 而 对 入 作 织 多 俐 下 驼 近 | 很 难 应 用 于 停止 支持 或 不 支持 的 操作 


也 不 影响 扫描 的 进行 系统 

















及 升级 软件 的 麻烦 


入 省 了 为 客户 庙 安 装 软 件 以 | 所 有 的 客户 哨 都 震 要 安装 软件 ， 赤 费 
月 


用 户 无 法 主观 停止 扫描 过 程 | 用户 可 以 主观 停止 扫描 或 升级 














能 够 防止 来 自 内 部 客户 端的 | 虽然 能 够 扫描 外 部 流入 数据 ， 但 对 于 
病毒 已 经 感染 的 文件 通信 则 无 法 检测 
































能 够 通过 网 关 设 备 对 日 志 、 | 日 志 等 保存 在 各 台 PC 上 ， 统 一 化 管理 
报告 等 实施 统一 化 管 需要 其 他 系统 支持 























表 5-34 主机 型 防 病毒 的 优点 与 网 关 型 防 病毒 的 缺点 
主机 型 防 病毒 的 优点 网 关 型 防 病毒 的 缺点 


不 文 持 所 有 es 
RE wj; 通 位 | 一 Palo Auto 公 司 产品 文 持 FTP、HTTP、 
让 IMAP、POP3、SMB、STMP 协 议 的 解码 
一 其 他 厂商 仅 支 持 FTP、HTTP 以 及 电子 出 
































件 协 议 


能 够 对 所 有 接收 的 广 
件 进行 扫描 无 法 对 所 有 文件 进行 扫描 


i 
能 够 对 具体 安装 的 操 | 一 例如 附带 密码 的 压缩 文件 等 
作 系 统 进行 定制 扫描 












































防 病毒 软件 扫 摘 通过 防毒 引擎 (engine) 程序 完成 ， 防 毒 
引擎 使 用 名 为 “特征 签名 ”(signature) 或 “病毒 定义 文 
件 ” 的 数据 库 ， 判 断 在 扫 摘 对 象 中 是 否 存 在 已 经 被 注册 过 











的 病毒 等 。 表 5-35 列 出 了 防毒 软件 所 能 检测 的 病毒 〈 悉 
意 软件 ) 类 型 。 








通过 Web 站 点 以 及 电子 邮件 附件 等 入 侵 计算 机 系统 ， 趁 
用 户 未 察觉 之 际 ， 修 改 计算 机 运行 方式 的 程序 。 病 毒 入 
侵 计 算 机 称 为 “感染 "， 会 造成 显示 画面 异常 以 及 磁盘 广 
件 措 坏 等 现象 。 病 毒 程序 能 久 自 我 运行 ， 自 我 复 制 (和 
殖 ) 






































反复 自我 繁殖 并 破坏 数据 的 程序 。 病 毒 只 感染 程序 文 
件 ， 而 蠕虫 则 能 够 存在 于 Word、Excel 文 档 的 内 部 ， 并 
能 通过 发 送 附带 感染 文档 的 电子 邮件 来 进行 繁殖 














伪装 成 合法 文档 的 破坏 程序 。 利 用 互联 网 上 可 免费 下 载 
的 共享 软件 诱导 用 户 下 载 带 有 木马 的 应 用 程序 。 同 病毒 
不 同 的 是 ， 木 马 程 序 自 身 不 会 繁殖 。 如 果 运 行 了 含有 木 
马 的 恶意 程序 ， 则 会 造成 数据 损失 或 被 盗用 的 严重 后 果 









































指 将 用 户 个 人 计算 机 内 部 信息 以 及 Web 浏 览 器 访问 的 历 

间 谨 软件 | 中 记录 在 没有 得 到 用 户 许 可 的 前 提 下 ， 擅 自 向 第 三 方 发 
送 的 程序 。 通 过 间谍 软件 盗 取 的 用 户 信息 ， 可 能 会 用 于 
在 线 广告 以 及 调查 统计 等 领域 


























在 用 户 画 面 中 强制 弹出 广告 的 程序 。 英 文 为 adware，ad 
表示 广告 (advertisement) 。 有 时 仅仅 是 普通 的 广告 ， 
有 时 则 是 可 以 使 用 的 免费 软件 























病毒 、 蠕 虫 、 特 洛 伊 木 马 、 间 谍 软 件 、 广 告 软件 这 类 带 
有 “恶意 ”的 程序 (软件 ) 总 称 。 英 语 为 malware，mal 前 
缀 表示 怀 有 恶意 的 意思 。 软 件 以 及 硬件 如 果 带 有 “恶意 
软件 防范 ”的 宣传 字样 则 表示 能 够 防范 恶意 软件 带 来 的 
损害 。 也 可 以 称 为 不 恨 软件 (badware) 












































犯罪 软件 | 以 犯罪 为 目的 编写 并 使 用 的 软件 





用 于 记录 键盘 输入 内 容 的 软件 。 原 本 该 类 软件 在 Telnet 
键盘 记录 | 等 用 于 确认 发 送 命令 ， 但 后 来 也 被 用 于 盗 取 用 户 信用 卡 
软件 账号 、 密 码 等 不 恨 用 途 。 一 般 隐蔽 安装 在 网 吧 等 不 特定 
多 人 使 用 的 计算 机 中 记录 信息 并 生成 报告 














一 定时 间 间 隔 内 ， 定 期 捕获 屏幕 画面 (screen shot) 的 
软件 。 该 类 软件 还 会 将 捕获 的 画面 以 电子 邮件 的 形式 发 
送 ， 常 用 于 盗 取 网 络 银行 密码 等 



































后 门 软件 | 信 侵 服务 器 等 系统 的 破解 者 在 实施 恶意 操作 时 使 用 的 工 





























的 集合 。 对 于 恶意 软件 不 时 针对 “安全 漏洞 ?发 起 的 进 
攻 ， 和 希望 用 户 能 够 及 时 安装 最 新 补丁 来 子 以 避免 





(rootkit) 











。 基于 文件 和 基于 数据 流 的 网 关 型 防 病毒 


网 关 型 防 病毒 可 以 分 为 两 类 ， 一 类 是 基于 文件 〈 代 
理 ) 型 ， 另 一 类 是 基于 数据 流 型 (flow) 。 


基于 文件 型 会 将 作为 扫描 对 象 的 文件 数据 存在 缓存 
中 ， 等 竺 扫描 对 象 全 部 传输 完 半 才 会 自动 开局 扫 描 。 


基于 数据 流 型 是 新 型 防 病毒 方式 ， 无 需 等 竺 文件 整体 
接收 完毕 ， 而 是 接收 到 文件 开头 部 分 的 分 组 时 便 能 立 
刻 开 局 扫描 。 扫 描 结 束 后 转发 文件 时 ， 也 同样 无 需 等 
竺 文件 整体 扫描 结束 ， 而 是 直接 将 完成 扫描 的 分 组 直 
接 转 发 即 可 。 该 类 型 同 基于 文件 型 扫描 相 比 ， 等 待 时 
间 大 幅 缩短 ， 实 现 的 延迟 很 低 〈 图 5-31) 。 











接收 有 效 载荷 
扫描 有 效 载荷 | 

发 送 有 效 载荷 
| 

延迟 
基于 数据 流 型 





接收 有 效 载荷 
扫描 有 效 载荷 


发 送 有 效 载荷 


延迟 





基于 文件 型 
图 5-31 基于 数据 流 型 同 基于 文件 型 的 延迟 比较 
表 5-36 基于 数据 流 型 的 优点 与 基于 文件 型 的 缺点 


基于 数据 流 型 的 优点 基于 文件 型 的 缺点 

能 够 进行 高 。 扫描 耗费 时 间 

和 。 低 吞吐 率 、 高 延迟 

。 扫描 能 够 不 受 文件 大 小 |。 扫描 受 文件 大 小 太 寸 限 千 

限制 发 式 扫 描 (heuristic scan ) 误 检 
率 很 高 




















表 5-37 基于 文件 型 的 优点 与 基于 数据 流 型 的 缺点 














基于 文件 型 的 基于 数据 流 型 的 缺点 
优点 

。 能 够 支持 

zip/gzip 以 外 的 

压缩 算法 e 不 支持 zip/gzip 以 外 的 压缩 算法 








各 时 级 目 李 |。 通过 具 复 法 也 只 能 够 民 开 榨 小 大 级 的 上 
人 2 够 复原 整个 录 (Palo Alto Networks 产 品 中 也 最 多 只 能 展 
e 能 泵 | 开 2 层 ) 


文件 扫描 
一 执行 局 发 
式 扫 描 




















| 


基于 文件 的 网 关 型 防 病毒 装置 同 基 于 数据 流 型 的 装置 
相 比 ， 虽然 能 够 扫 摘 更 多 的 文件 ， 但 仍 无 法 扫 摘 那些 
附带 密码 、 加 蜜 、 不 文 持 协议 等 文件 ， 因 此 这 些 文件 
ee 削 上 的 主机 型 防 病毒 来 进行 扫描 
( 表 5-37) 


基于 文件 型 的 装置 是 耗费 CPU 资源 对 积累 并 复原 的 
文件 进行 扫描 ， 因 此 设备 的 吞吐 率 一 般 只 能 维持 在 几 
M 到 几 百 Mbits 之 间 ， 不 得 不 说 这 是 一 个 缺点 。 
外 ， 在 遇 到 大 文件 时 ， 从 扫描 启动 到 扫描 结束 也 需 
花费 几 分 钟 到 几 十 分 钟 不 等 ， 2 
文件 ， 从 网 关 处 下 载 文 件 也 需要 耗费 大 量 时 间 。 另 
外 ， 如 果 不 同 时 使 用 基于 web 浏览 器 的 重 定 向 控制 或 
ICAP Trickle 28 等 回避 手段 ， 就 会 导致 在 网 关 扫 描 期 
间 ， 端 到 端的 会 话 丢 失 ， 从 而 永远 无 法 获取 目标 文 
件 ， 这 样 的 风险 同样 需要 引起 用 户 注意 。 


28 本质 上 是 利用 在 HTT message 上 执行 RPC 远程 过 程 调用 ， 通 过 ICAP 协 
议 进 行 数据 的 分 流 。 译 者 注 















































反 垃 圾 邮件 


垃圾 邮件 是 指 骚 扰 邮 件 (spam mail〉、 广 告 邮件 和 欺诈 邮 
fs ， 很 多 产品 提供 了 过 二 滤 这 类 垃圾 邮件 的 反 垃圾 邮件 功 
能 。 

虽说 该 功能 同 基于 内 容 的 扫描 如 出 一 统 ， 但 反 垃 圾 邮件 很 
容易 引发 误 检 。 如 果 将 非 驭 扰 邮件 归档 到 了 骚扰 邮件 中 ， 

则 有 可 能 丢弃 了 本 应 该 接收 的 邮件 ， 这 一 点 必须 引起 注 


DLP 


DLP 是 Data Loss Prevention 或 Data Leak Prevention 的 缩 
写 ， 即 防范 信息 泄露 功能 


该 功能 检测 网 络 上 交互 的 应 用 程序 数据 内 容 ， 当 发 现存 在 
特定 文件 或 数据 时 ， 及 时 执行 告警 、 断 开会 话 、 记 录 日 志 
等 操作 。 

对 于 机 构 而 言 ， 该 功能 还 可 以 识别 该 机 构 机 密 数 据 的 文字 
序列 、 文 件 名 以 及 文件 类 型 等 ， 防 止 机 密 数 据 从 内 部 泄露 
到 外 部 。 

有 些 产 品 还 能 够 应 用 该 功能 ， 对 于 来 自 外 部 入 侵 的 或 内 部 
之 间 转 发 的 恶意 软件 (可 执行 文件 ) 及 时 予以 检测 、 删 除 
并 告知 用 户 。 

该 功能 最 主要 由 “文件 过 滤 ” 与 “数据 过 滤 ”* 两 大 部 分 组 成 。 


表 5-38 DLP 功能 


























义 | 通过 检测 会 话 内 交互 的 文件 信息 ， 阻 拦 不 必要 文件 的 流入 和 涉 
I 生 | 密 文件 的 流出 。 一 般 对 文件 的 名 称 、 扩 展 名 、 文 件 内 部 数据 进 
让 | 行 解析 后 分 类 ， 从 而 判断 文件 是 否 有 必要 阻拦 























通过 检测 会 话 内 交互 的 数据 信息 ， 发 现 匹配 特定 关键 字 的 数据 
过 | 便 予 以 丢弃 或 告 区 








URL 过 滤 


URL 过 滤 功 能 是 指 在 HTTP 通信 中 ， 当 客户 端 向 服务 器 
发 起 请 求 时 ， 能 够 对 URL 信息 进行 检查 ， 判 断 该 URL 是 
否 能 够 访问 ， 并 对 不 友好 的 Web 站 点 予以 拦截 的 功能 ， 

通常 作为 通用 服务 器 上 的 软件 、 专 用 装置 、 防 火 墙 装置 以 
及 代理 服务 器 的 功能 之 一 提供 给 用 户 。 











例如 ， 提 供 移 动 通信 服务 的 运营 商 同 用 户 等 普 了 茶 止 癌 未 
成 年 人 提供 有 害 站 点 访 问 的 服务 条 丈 ， 该 条 球 的 具体 实现 
就 是 通过 URL 过 滤 功 能 完成 的 。 


另外 ， 普 通 公 司 、 学 校 等 地 方 会 有 花 止 用 户 访问 与 工作 、 
学 业 无 关 站 点 的 规定 ， 或 者 需要 茶 止 防 问 钓鱼 网 站 、 易 被 
蠕虫 病毒 等 感染 的 网 站 时 ， 这 类 控制 也 会 通过 URL 过 波 
实现 。 


URL 过 滤 功 能 分 为 “数据 库 型 * 和 “ 云 服 务 型 "两 大 类 。 


数据 库 型 URL 过 滤 使 用 了 称 为 URL 信息 目录 的 群 组 分 类 
数据 库 。 管 理 员 通过 设置 禁止 访问 URL 类 别 ， 便 能 够 在 
用 户 访问 这 类 URL 地 址 时 向 用 户 弹 出 告警 信息 。 


管理 员 同 样 能 够 使 用 静态 生成 的 数据 库 信息 进行 URL 过 
滤 。 这 时 ， 能 够 访问 的 URL 数据 库 称 为 “ 白 名 单 ”， 不 能 
访问 的 URL 数据 库 则 称 为 * 黑 名 单 ”。 


虽然 数据 库 能 够 做 到 定期 更 新 ， 但 同时 拥有 世界 上 所 有 的 
URL 信息 在 物理 层面 上 是 无 法 实现 的 。 因 此 ， 后 来 针对 
这 类 问题 新 开发 了 云 服务 型 的 URL 过 滤 。 


云 服务 型 的 URL 过 滤 中 ， 服 务 供应 商 负 贡 控 制 互联 网 上 
的 分 类 服务 器 并 向 服务 器 发 送 用 户 请 求 的 URL 数据 。 分 
类 服务 器 根据 收 到 的 URL 数据 ， 对 实际 Web 站 点 访问 的 
内 容 进行 确认 ， 并 糊 此 分 类 。 














05.07.10” 监视、 报告 功能 


监视 功能 是 防火 墙 的 重要 功能 之 一 ， 表 5-39 列 出 了 监视 
功能 的 几 个 方面 。 


表 5-39 防火 墙 的 监视 功能 





对 网 络 以 及 网 络 设 备 的 实时 状态 予以 监视 ， 及 时 观 





监视 测 通信 流量 状态 以 及 故障 信息 。 当 发 生 故 障 、 有 异常 
(monitoring)〉 | 情况 以 及 出 现 预 定义 事件 时 ， 能 够 即使 告警 通知 管 


理 员 









































属于 监视 功能 的 一 个 部 分 ， 发 生 故 障 以 及 出 现 预定 

警 通知 义 事件 时 ， 回 管理 员 进 行 告 警 通知 。 告 警方 式 可 以 

(alerting) | 是 发 送 SNMP Trap、 向 Syslog 服 务 器 发 送 syslog 通 
信和 以及 向 指定 服务 器 发 送 电子 邮件 等 



























































记录 流量 日 志 、 事 件 日 志 等 各 类 日 志 的 功能 。 根 据 
不 同 的 防火 墙 产品 ， :能 够 导出 为 纯 文本 格式 、 
CSV 格 式 . PDF 格 式 等 不 同 格式 

















记录 依据 安全 规则 允许 或 拒绝 的 
通信 。 般 在 会 话 结束 时 记录 ， 
一 个 会 话 占据 日 志 的 一 行 。 











属于 通信 流量 日 志 的 一 种 ， 记 录 
由 反 病 毒 、IPS、URL 过 滤 等 各 











志 获 取 





1 人 4DANAN ~ 2 本 、 
(logging) URL | 种 安全 功能 检测 出 的 恶意 软件 以 


及 目的 地 URL 地 址 信息 等 。 


用 于 记录 类 似 网 络 接 口 开 闭 、 签 
名 获取 情况 、VPN 连 接 情况 等 系 
统 发 生 的 各 类 事件 的 日 志 。 其 中 
包括 系统 事件 发 生 的 时 间 、 重 要 
级 别 、 事 件 种 类 、 事 件 内 容 等 。 














员 变 更 设备 设置 时 记录 的 日 
志 。 有 时 在 事件 日 志 中 同样 也 会 
包含 相关 内 容 。 





























A a 
里 员 提 供 显而易见 的 图 表 等 信息 。 
报告 将 报告 结果 以 PDF 的 格式 导出 。 
(rejortina) | 是 提供 报告 导出 功能 ， 而 是 于 用 预先 本 入 的 管理 有 
Boo ns 务 器 接收 防火 墙 传输 过 来 的 Syslog 形 式 日 志 (包含 
通信 流量 时 日 A 或 专用 格式 日 志 Th, 在 管理 服务 器 上 

展示 报告 
























































同 报告 功能 相关 的 为 一 部 分 便 是 将 防火 墙 设备 生成 的 告警 
及 日 志 等 传输 至 管理 服务 器 。 管 理 服务 器 可 以 是 由 防火 墙 





设备 厂商 提供 的 专用 硬件 产品 ， 也 可 以 是 有 第 三 方 提供 的 
通用 产品 ( 表 5-40) 。 


表 5-40 主要 设备 厂商 提供 的 专用 管理 产品 


Cisco ASDM 人 Security Device ASA 系列 使 用 
anager) 
Juniper NSM (Network and Security SSG/SRX 系列 使 
Manager) 用 
| 






































Palo Alto Panorama PA 系列 使 
Check Point Horizon Manager/Network Voyager |IP 系列 使 用 
Fortinet FortiAnalyzer/FortiManager Fortigate 系列 使 用 


05.07.11 分 组 捕获 

有 些 安全 设备 产品 提供 了 分 组 捕获 的 功能 。 

捕获 的 分 组 可 以 放 在 设备 上 浏览 ， 也 可 以 导出 为 WinPcap 

格式 的 pcap 文件 在 Wireshark 这 类 应 用 程序 中 进行 浏览 
(图 5-32) 。 


当 发 生 通 信 故 障 时 ， 可 以 根据 所 捕获 的 分 组 信息 进行 进 一 
步 的 分 析 。 
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Desrination: 59.106,. 160. 10 Gn 00 160.10) 
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@ Freme (frame), 54 bytes Pockats: 17 Dayplayed: 17 Mareaet 0 Dropped: 0 Profin: Detocit 


图 5-32 Wireshark 


05.07.12 ”虚拟 路 由 器 


几乎 所 有 的 防火 墙 均 实 现 了 静态 路 由 和 动态 路 由 的 功能 。 
在 防火 场 中 实施 路 由 选择 的 功能 特性 称 为 虚拟 路 由 器 ， 表 
示 位 于 防火 墙 中 存在 虚拟 的 路 由 器。 


当 使 用 多 个 虚拟 路 由 器 时 ， 即 使 遵 到 某 个 攻击 导致 数据 被 

自 改 或 田 听 ， 也 不 会 对 其 他 虚拟 路 由 圳 造成 影响 ， 能 够 进 

一 步 提高 网 络 的 安全 性 。 力 外 ， 通 过 每 生成 一 个 虚拟 防火 
都 能 够 复 用 同一 子 网 地 址 的 物理 网 络 端 口 。 


05.07.13 ”虚拟 防火 墙 

高 端的 防火 墙 产 品 还 能 够 提供 虚拟 防火 墙 的 功能 。 虚 拟 防 

火 墙 也 成 为 虚拟 系统 (VSYS，Virtual System) ， 能 够 在 
台 物 理 设备 上 虚拟 出 多 个 逻辑 防火 墙 在 网 络 中 使 用 。 


其 中 每 一 个 远 辑 防火 墙 均 使 用 附带 IEEE 802.1q 标签 的 
VLAN 子 接口 进行 分 割 。 分 割 后 的 逻辑 防火 墙 可 以 同时 使 





虚拟 放火 增 主 要 用 于 网 络 服务 供应 商 同时 为 多 个 企业 提供 
企业 防火 墙 服务 的 业务 中 。 


05.08 ”决定 防火 墙 性 能 的 要 素 
05.08.01 同时 在 线 会 话 数 


防火 增 通 过 省 理会 话 表 ， 以 会 话 为 单位 来 控制 通信 流量 。 
会 话 表 能 够 记录 的 表 项 数目 表明 了 该 防火 增 能 够 处 理 的 同 
时 在 线 会 话 ( 也 称 为 同时 连接 会 话 ) 数量 。 


果 面 型 小 型 防火 墙 设备 一 般 能 够 省 理 儿 万 个 会 话 ， 而 通信 
服务 供应 商 使 用 的 防火 墙 设备 一 般 能 够 同时 管理 数 百 万 个 


2 
05.08.02 NAT 表 数 目 


根据 设备 广 商 的 不 同 ， 茶 些 广 商 的 路 由 亏 或 防火 墙 产品 会 
分 别 携带 维护 会 话 表 和 NAT 表 。NAT 表 的 数量 用 来 表 
示 “ 同 时 在 线 NAT 的 会 话 数 "， 该 数值 也 意味 着 设备 所 能 
支持 建立 NAT 会 话 数目 的 最 大 值 。 


没有 给 出 NAT 表 数 目 上 限 的 防火 墙 ， 一般 束 是 使 用 会 话 
数 的 上 限 以 及 内 存 的 上 限 来 表示 NAT 会 话 数 的 上 限 情 
况 。 


除了 NAT 表 数 目 以 外 还 有 “NAT 规则 数目 ”这 一 指标 。 
NAT 规则 ， 以 发 送 源 与 发 送 目的 地 网 络 地址 组 合作 为 条 
件 ， 能 够 指定 静态 NAT、 动 态 NAT、1 对 1 的 NAT 或 者 
NAPT 等 操作 。 其 中 用 来 说 明 这 条 NAT 规则 的 表 项 数 就 
是 NAT 规则 数目 。 


另外 ， 在 设置 计算 时 还 要 注意 动态 NAT 中 卫 地 址 池 的 数 
量 同 样 有 限 。 


对 于 NAT 处理， 小 型 路 由 器 只 通过 CPU 来 完成 ， 因 此 会 
对 设备 的 吞吐 率 有 一 定 影响 ， 但 更 为 高 端的 路 由 器 则 是 使 
用 硬件 进行 NAT 处 理 ， 因 此 不 会 出 现 否 吐 率 低下 的 情 
况 。 

















05.08.03 ”每 秒 新 建 的 会 话 数目 


路 由 器 的 性 能 一 般 使 用 每 秒 能 够 传输 的 bit 数 bivs 和 每 秒 
能 够 转发 的 分 组 数 pps 这 两 个 参数 来 描述 。 


而 防火 墙 还 需 增 加 一 条 每 秒 能 够 建 并 的 会 话 数 (new 
session per second ) 这 一 参数 指标 。 例 如 在 状态 检测 型 防 
火 墙 (stateful inspection) 中 ， 访 指标 表示 在 1 秒 内 能 够 
完成 多 少 次 完整 的 会 话 建立 过 程 。 其 中 ，1 个 完整 的 会 话 
建立 过 程 包括 : 监控 TCP 连接 的 3 次 握手 ， 握 手 正 常 则 
生成 会 话 信息 ， 将 信息 记录 至 会 话 表 等 一 系列 操作 。 


每 秒 新 建 会 话 值 一 般 仅 仅 针 对 TCP 会 话 为 统计 对 象 ， 
此 也 可 以 引入 另 一 个 指标 来 表示 在 工 秒 内 能 够 完成 会 话 从 
建立 到 结束 的 次 数 ， 访 指标 名 为 每 秒 连接 数 (connection 


per Second) 。 


其 他 同 防火 墙 性 能 相关 的 指标 可 以 参考 本 书 第 7 章 中 的 每 
秒 完 成 事务 (transaction ) 数量 等 。 








05.09” 同 信息 安全 范畴 相关 的 标准 
05.09.01 ISCA 


企业 或 政府 引入 安全 产品 时 ， 有 时 会 以 产品 需 通 过 
ISCA (International Computer Security Association， 国 际 计 


算 机 安全 协会 ) 的 相关 认证 作为 前 提 条 件 。 

ICSA 认证 是 指 ICSA Labs 对 安全 类 产品 或 服务 进行 的 统 
一 标准 的 认定 。 

安全 设备 厂商 往往 会 委托 ICSA Labs 进行 相关 测试 ， 如 果 
产品 合格 即 通过 ISCA 认证 。 


测试 内 容 按照 每 项 安全 技术 内 容 依 次 进行 ， 通 过 认证 的 产 
品 均 能 够 在 ISCA Labs 官方 网 站 上 记录 。 表 5-41 列 出 了 
ISCA 认证 的 主要 技术 分 类 。 


表 5-41 ISCA 认证 的 主要 技术 分 类 


ED 
LD 





肥 病 毒 Web 应 用 程序 防火 墙 


2 


以 ISCA 认证 IPsec 网 络 人 硬件 为 例 ， 由 于 经 由 ISCA 认证 
的 网 络 硬 件 之 则 可 以 不 分 具体 的 生成 厂商 ， 做 到 无 颖 互 
联 。 因 此 是 否 通 过 ISCA 认证 往往 在 很 多 场合 成 为 应 急 按 
钮 采购 方 对 候选 便 件 进行 甄选 而 关注 的 参考 材料 之 一 。 


ISCA Labs 前 身 为 1989 年 成 立 于 美国 的 NCSA (National 
Computer Security Association， 国 家 计算 机 安全 鞋 花 ) 组 
织 ，1998 年 正式 更 名 为 I SCA”，2004 年 成 为 美国 
Cybertrust 公司 的 一 个 部 门 ， 而 2007 年 随 着 Cybertrust 公 
司 的 被 收购 又 成 为 Verizon Business 公司 的 一 个 子 部 门 。 






































3 区 别 于 日 本 儿童 网 络 色情 防范 管理 组 织 ICSA (Internet Content Safety 
Association) 。 








05.09.02 FIPS 


FIPS (Federal Information Processing Standard， 联邦 信息 
处 理 标 准 ) 是 由 美国 联邦 政府 开发 的 信息 通信 便 件 相关 标 
准 。 对 于 网 络 硬件 的 认证 内 容 如 表 5-42 所 示 。 该 标准 由 
NIST (National Institute of Standards and Technology， 美 
国家 标准 技术 研究 所 〉 人 负责 起 草 ， 其 中 有 多 项 条 球 同 信息 
安全 标准 有 关 。 除 军事 机 关 以 外 的 美国 政府 以 及 关联 组 织 
必须 采用 符合 FIPS 标准 认证 的 产品 。 以 防火 墙 为 代表 ， 

各 类 设备 厂商 提供 的 安全 设备 都 需 完成 FIPS 认证 。 日 本 
政府 以 及 相关 组 织 没 有 特别 规定 必须 选择 FIPS 相关 产 


口 口 











表 5-42 FIPS 的 认证 内 容 


Mi 
FIPS 46-3 |DES 加 密 
FIPS 140-2 | 加 密 模 块 产品 的 认证 标准 与 通过 认证 的 产品 清单 



























































FIPS 171 |ANSI XX.9.17 密 钥 交换 
FIPS 180-2 | 散 列 函数 (SHA-1、SHA-256、SHA-386、SHA-512) 
FIPS 197 ”|AES 加 密 





05.09.03 ”ISO/TEC 15408 (公共 标准 ) 


1983 年 美国 NSA (National Security Agency， 美 国 国家 安 


全 局 ) 下 属 的 NCSC (National Computer Security Center， 
国家 计算 机 安全 中 心 ) 制定 了 军用 计算 机 产品 采购 的 评估 
标准 TCSEC (Trusted Computer System Evaluation 
ee 


上 世纪 90 年 代 ， 欧 洲 各 个 国家 均 制 定 了 信息 安全 评估 标 
准 或 相关 认证 制度 ， 唯 有 通过 认证 的 产品 方 能 进入 军 方 以 
及 政府 机 关 的 信息 安全 产品 采购 范围 。1991 年 ， 英 国 、 
德国 、 法 国 与 荷兰 4 国 开始 实施 全 欧洲 统一 的 

ITSEC (Information Technology Security Evaluation 


Criteria， 信 息 技术 安全 评估 准则 〉 标准。 


基于 这 些 安全 认证 规范 ， 加 拿 大 、 法 国 、 德 国 、 和 荷兰 、 英 
国 和 美国 6 国 又 开始 启动 制定 适用 范围 更 广 的 公共 标准 
(Common Criteria) 工程 ， 并 于 1996 年 发 布 了 公共 标准 
版 本 1。 到 了 1998 年 ， 公 开标 准 版 本 2.1 发 布 ， 并 在 
1999 年 被 认定 为 由 国际 标准 ISO/IEC 154083 。 











30 该 标准 对 应 日 本 于 2000 年 发 布 的 JIS XX 5070 标准 ， 目 前 已 废止。 


虽然 公共 标准 是 通用 的 评价 标准 体系 ， 但 必须 使 用 

CEM (Common Evaluation Methodology， 公 共 评 价 方法 ) 
作为 其 评价 方法 。 目 前 (2011 年 ) ， 该 标准 为 CC/CEM 
版 本 3.1 release 3。 


通过 ISO/IEC 15408 认证 的 产品 会 在 公开 标准 的 门户 站 点 
公布 ， 日 本 还 可 以 参考 IPA (Information-tech Promotion 
Agency) 的 官方 站 点 。 考 虑 到 IT 投资 减 税 的 政策 (中 小 
企业 基础 设施 强化 税收 制度 ) 31 ， 企 业 或 公共 团体 等 特别 
是 在 采购 安全 类 设备 时 ， 需 要 将 该 设备 是 否 通 过 认证 作为 
甄选 采购 设备 的 参考 标准 之 一 。 


31 该 制度 仅 在 日 本 实行 。 译 者 注 

















EAL 


EAL (Evaluation Assurance Level， 评 估 保 证 级 别 ) 定义 


了 公共 标准 (Common Criteria) 中 的 7 级 安全 保障 评估 级 
别 。 评估 保 章 级 别 用 来 表示 实现 装置 的 安全 性 能 和 可 信 程 
度 的 高 低 〈 表 5-43) 。 数 字 越 大 表示 级 别 越 高 ， 上 位 级 别 
包含 了 下 位 级 别 的 所 有 要 求 。 EAL1 至 EAL3 用 于 民用 ， 
0 EAL5 以 上 用 于 军队 以 及 政府 的 高 
度 机 密 机 构 。 


在 日 本 ， 防 火 墙 这 类 安全 产品 一 般 由 美国 、 欧 洲 、 以 色 列 
厂商 提供 的 产品 为 主 ， 占 据 市 场 份 额 高 的 产品 往往 都 通过 
了 公共 标准 的 认证 ， 基 本 都 符合 EAL 标准 中 EAL2 或 
EAL4 的 程度 。EAL2 需要 花费 5-10 个 月 时 间 获 得 ， 而 
EAL4 则 需 花 费 10-25 个 月 才 行 。 


需要 对 某 个 EAL 评估 标准 条 件 添加 内 容 进行 扩展 时 ， 可 
以 在 EAL 级 别 中 添加 标识 符 。 如 防火 增产 品 通 过 EAL4 
认证 后 ， 又 通过 了 EAL4 扩展 标准 EAL4+ 的 认证 ， 这 些 
埋 恩 一 般 都 会 记录 在 产品 目录 说 明 书 中 。 


表 5-43 EAL 的 安全 评估 级 别 


设想 的 安全 保障 级 别 评 I ee rere 
以 封闭 环境 应 用 为 前 提 ， 能 够 保 ee 

障 安全 使 用 、 利 用 时 使 用 产品 的 | 功能 测试 | 下 |p~cl 
保障 级 别 



























































不 特定 用 户 可 利用 ， 需 需要 防范 非 | 功能 测试 |F2 
法 使 用 时 产品 的 保障 级 别 以 及 检查 





























用 户 或 开发 人 员 限 定 ， 不 存在 威 
胁 安 全 使 用 的 重大 隐患 时 使 用 产 | 结构 测试 |E1 C1 
品 的 保障 级 别 
加 时 





为 保障 商用 产品 以 及 系统 的 高 安 | 功能 设 
全 性 ， 在 考虑 了 安全 性 的 开发 与 | 计 、 测 试 |E3 B1 
生产 环境 中 生产 产品 的 保障 级 别 以 及 评审 





一 





EAL4 























为 在 特定 领域 的 商用 产品 以 及 系 
统 中 能 够 最 大 限度 保护 安全 性 ， 
在 安全 专家 的 文 持 下 完成 开发 与 
生产 的 产品 的 保障 级 别 








为 了 对 抗 重 大 风险 环境 、 保 护 高 
价值 的 资产 ， 适 应 安全 工程 技术 








为 保护 风险 极 大 和 开发 费用 极 高 
环境 中 的 高 昂 资 产 而 开发 的 安全 
保障 级 别 最 高 的 产品 的 保障 级 别 




















准 形式 设 
计 以 及 测 
试 





标准 的 开发 环境 中 生产 的 特殊 产 | 设计 | 
品 的 保障 级 别 





计 以 及 测 
试 





第 6 半 高 速 普及 的 无 线 
LAN 及 有 其 基础 知识 


本 章 将 介绍 无 线 LAN 的 历史 、 标 准 以 及 接 入 点 
(Access Point) 的 功能 等 内 容 。 


另外 ， 本 章 还 会 介绍 无 线 LAN 安全 性 以 及 无 线 LAN 
性 能 的 考量 方法 。 


最 后 ， 还 会 对 IEEE 802.11 标准 中 的 内 容 尤 其 是 传输 
标准 进行 详细 地 说 明 。 


06.01 无 线 LAN 是 如 何 诞生 的 ? 


世界 上 最 早 的 计算 机 无 线 通 信和 是 1968 年 开始 研究 的 
ALOHA 网 。 该 实验 网 络 将 夏威夷 诸 品 以 无 线 通 信 的 方式 
进行 连接 ， 后 来 在 该 实验 网 的 基础 上 开发 了 以 太 网 。 


1985 年 ， 经 美国 FCC 批准 ， 原 来 仅 用 于 军 方 的 扩 频 通信 
辣 民 间 开 放 ，900MHz 频带 〈902 一 928MHz) 、2.4GHz 
频带 〈2.4~2.5GHz) 、5.7GHz 频带 〈5.725 一 5.875GHz ) 
这 三 个 被 称 为 ISM 频带 的 无 线 频带 开始 可 供 商 业 使 用 。 


1991 年 ，IEEE 召开 了 首 个 无 线 LAN 相关 的 会 议 ， 同 时 
成 立 了 IEEE 802.11 委员 会 。1992 年 ，NCR 公司 的 
WaveLAN、Proxim 公司 的 RangeLAN 以 及 Telesytems 公 
司 的 ArLAN 等 无 线 产品 在 美国 市 场 上 发 布 ， 这 些 产 品 使 
用 900MHz 频带 ， 最 大 速率 为 2Mbits。 了 随后， 市场 上 又 
出 现 了 使 用 2.4GHz 带宽 的 2Mbit/s 无 线 LAN 产品 。 当 时 
Proxim 公司 的 RangeLAN2 接 入 点 价格 大 约 为 1985 美 

元 ， 另 一 方面 ， 需 要 在 每 台 作 为 客户 端的 计算 机 上 安装 无 
线 LAN 适配器 ， 该 适配器 为 PCMICA TYPE I 类 型 PC 
扩展 卡 ， 售 价 为 695 美元 (当时 价值 7 万 5 千 日 元 ) 。 


日 本 于 1992 年 根据 无 线 电 相关 法 律 ， 规 定 只 有 在 省 电 数 
据 通信 系统 管理 局 登记 、 符 合法 定 技术 标准 的 无 线 LAN 
硬件 产品 才能 在 市 场 上 销售 ， 而 符合 技术 标准 的 认证 必须 
由 TELEC (财团 法 人 telecom engineering center) 机 构 进 
行 。 由 于 在 当时 ， 认 证 无 线 通 信 设 备 需 要 将 不 同 的 天 线 和 
计算 机 组 合 后 逐一 认证 ， 因 此 最 终 只 有 少 部 分 能 够 使 用 无 
线 LAN 的 计算 机 种 类 获得 了 该 认证 ， 这 在 一 定 程度 上 炉 
人 碍 了 无 线 LAN 的 普及 程度 。 


1997 年 IEEE 完成 了 首 个 无 线 LAN 标准 一 一 802.11 的 标 
准 化 工作 ， 该 标准 让 使 用 2.4GHz 频带 、 通 信 速 率 为 
2Mbit/s 的 无 线 LAN 得 到 普及 。 而 之 前 在 市 场 上 销售 的 无 
线 LAN 产品 属于 非 标准 化 范畴 ， 多 数 产 品 同 标准 化 后 的 
10Mbits 以 太 网 技术 相 比 ， 只 能 提供 速率 很 低 2Mbits 的 





























网 络 重 吐 率 并 且 价 格 不 菲 ， 不 同 广 商 的 产品 之 间 兼 容 性 
差 ， 难 以 在 市 场 上 得 以 普及 。 


1999 年 11Mbit/s 的 无 线 LAN 通过 802.11b 标准 完成 了 标 
准 化 工作 。 就 在 该 标准 颁布 前 ， 琴 果 公 司 发 布 了 一 款 名 为 
AirPort (日 本 该 产品 名 为 AirMact{[ 该 产品 没有 进入 中 国 市 
场 。 译 者 注 ]} ) 的 无 线 接 入 点 产品 。 当 时 AirMac 售 
价 299 美元 ， 无 线 LAN 网 卡 价 格 为 99 美元 ， 相 对 于 之 前 
的 无 线 LAN 产品 ， 价 格 可 谓 非 常 低 廉 。 日 本 Melco 公司 
(现在 的 Buffalo 公司 ) 在 国内 也 发 布 了 支持 IEEE 

802.11b 的 产品 ， 其 中 包括 价格 为 59800 日 元 的 无 线 接 入 
点 和 29800 日 元 的 无 线 LAN 网 卡 。 


1999 年 日 本 修改 了 无 线 电 管理 法 律 ， 首 次 将 原本 只 认定 
单个 信道 的 无 线 LAN 专用 频段 扩大 到 了 14 个 信道 ， 使 得 
无 线 LAN 在 日 本 迅速 普及 。 


随后 ，IEEE 制定 了 提高 通信 速度 的 802.11g 以 及 802.11n 
等 标准 ， 这 些 标准 沿用 至 今 。 


2002 年 日 本 再 度 修 正 无 线 电 管 理 法 律 ， 允 许 总 务 省 认可 
的 民间 TELEC 认证 机 构 进 行 相关 认证 工作 。 








图 6-1 Mac AirPort 基站 (base station ) 
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图 6-2 Melco 公司 〈 现 为 Buffalo 公司 ) 的 
AIRCONNECT ( 接 入 点 ) 产品 
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图 6-3 Melco 公司 〈 现 为 Buffalo 公司 ) 的 
AIRECONNECT (无 线 LAN 网 卡 ) 产品 


06.02 ”理解 无 线 LAN 所 需 的 基础 知识 
06.02.01 CSMA/CA 


以 太 网 传输 媒介 访问 控制 方式 为 CSMA/CD， 而 IEEE 
802.11 无 线 LAN 所 采用 的 是 CSMA/CA 方式 。 通 过 使 用 
CSMA 技术 ， 使 得 多 个 终端 设备 在 共享 传输 媒介 (无线 
LAN 中 则 是 指 无 线 带 宽频 带 ) 时 能 够 实时 检测 出 那些 未 
被 占用 频 点 。 


以 太 网 的 冲突 域 (CD，collision domain) 是 指 在 数据 发 送 
时 检测 出 冲突 ， 当 发 生 冲 突 时 等 候 某 随 机 时 间 再 次 发 送 。 
而 在 无 线 LAN 中 ， 如 果 在 进行 载波 侦 听 时 (carrier 
sense) 遇 到 其 他 终端 正在 发 送 数据 ， 那 么 就 在 对 方 终端 发 
送 完成 后 ， 再 次 等 待 某 个 随机 时 间 继 续 发 送 数据 。 该 过 程 
称 为 冲突 避免 CA，collision avoidance) ， 因 为 如 果 在 对 
ee 也 有 可 能 会 造成 无 线 传输 的 
冲突 。 

在 以 太 网 中 ， 传 输 媒 介 能 够 通过 异 滑 电气 信和 号 检测 到 冲突 
的 发 生 。 但 由 于 无 线 通 信 不 会 产生 电气 信号 ， 因 此 需要 使 
用 CSMA/CA 来 取代 CSMA/CD ( 表 6-1) 。 


表 6-1 以 太 网 与 无 线 LAN 的 比较 


IEEE 802.3 IEEE 802.11 














接 入 控制 CSMA/CD CSMA/CA 








06.02.02 无线 LAN 的 架构 


IEEE 802.11 无 线 网 络 由 表 6-2 列 出 的 要 素 组 成 。 图 6-4 则 


展示 了 这 些 组 成 要 素 的 图 例 。 
表 6-2 IEEE 802.11 无 线 网 络 的 组 成 要 素 














AP (wireless 
access point， 无 线 
LAN 接 入 点 ) 


IBSS (Independent 
basic service set, 


独立 基本 服务 集 ) 





BSS (basic service 


set, 基本 服务 集 ) 


ESS (extended 
service set， 扩 展 





服务 集 
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上 用 的 配 有 适 配 卡 、PC 卡 、 内 置 
人 


























人 与 有 限 网 络 之 间 承 担 桥梁 角色 的 物理 




















包含 1 个 或 2 个 以 上 STA 的 无 线 网 络 ， 无 法 访问 
DS 时 使 用 该 模式 。 也 称 为 ad-hoc 无 线 网 络 (ad- 
hoc 模式 ) 





由 1 个 无 线 LAN 访问 点 和 1 个 以 上 无 线 客户 端 
组 成 的 无 线 网 络 ， 也 称 为 基础 设施 无 线 网 络 
(基础 设施 模式 ) 。BSS 内 所 有 的 STA 通信 均 
通过 AP 完成 ，AP 不 仅 提供 与 有 线 LAN 的 连 
接 ， 而 且 还 提供 STA 与 其 他 STA 或 DS 节点 之 
间 通 信 的 桥接 功能 
































与 同一 有 线 网 络 连接 的 、2 个 以 上 的 AP 群 
个 子 网 概念 相当 

















放置 于 不 同 BSS 内 的 AP 之 间 通 过 DS 路 由 相互 
连接 ， 使 STA 能 够 从 某 个 BSS 向 其 他 BSS 移动 








DS (distribution (mobility〉 。 各 个 AP 之 间 可 以 是 无 线 互联 也 

system， 分 发 系 ”| 可 以 是 有 线 互 联 ， 不 过 多 数 场 合 采 用 有 线 互 

统 ) 联 。DS 是 BSS 之 间 进 行 逻 辑 连 接 的 要 素 ， 使 
STA 在 BSS 之 间 能 够 实现 漫游 (roaming ) 











图 6-4 _ IEEE 802.11 无 线 网 络 要 素 


06.02.03 “无线 LAN 的 拓扑 结构 

无 线 LAN 的 拓扑 结构 分 为 用 于 通信 终端 之 间 直 接 互 联 

的 “ad-hoc 模式 ”以 及 通过 AP 连接 有 线 网 络 的 “基础 设施 模 
式 ” 两 种 〈 表 6-3) 。 这 里 提 到 的 终端 是 指 搭载 了 无 线 
LAN 模块 的 个 人 计算 机 、 便携 终端 、 游 戏 设备 等 。 


表 6-3 无 线 LAN 拓扑 结构 的 种 类 


说 明 








即 IEEE 802.11 无 线 网 络 的 BSS， 在 两 台 终端 (STA) 之 间 直 
接 通过 无 线 信 号 互联 ， 从 而 组 成 的 网 络 ， 也 称 为 点 到 点 
(peer to peer) 或 扳 立 〈independent) 的 网 络 模式 。 该 网 络 
模式 在 个 人 计算 机 与 打印 机 之 间 进 行 无 线 连接 或 者 多 台 便 携 
式 游戏 机 进行 无 线 联机 对 战 时 经 常 使 用 。 入 网 终端 一 般 直 接 
搭载 无 线 LAN 模 块 或 配备 PC 扩展 卡 、USB 接 口 的 无 线 LAN 
适 配 模块 ， 在 该 模式 下 ， 入 网 设备 往往 不 能 连接 到 互联 网 上 









































ad-hoc 模 式 


(ad-hoc 
mode) 


基础 设施 模式 
(infrastructure 
mode) 


指 802.11 无 线 网 络 的 BSS 形 式 组 网 ， 在 需要 经 由 无 线 LAN 连 
接 至 互联 网 时 使 用 。 在 该 模式 下 ， 除 了 载 有 无 线 LAN 模 块 的 
终端 (STA) 以 外 ， 还 需要 有 无 线 LAN 的 AP 方 能 连接 至 互联 
网 


有 线 LAN 





无 线 LAN 的 接 入 点 


有 线 LAN 通过 使 用 有 线 电缆 将 个 人 计算 机 同 交换 机 ( 交 
换 性 集线器 ) 连接 ， 从 而 完成 组 网 。 而 在 无 线 LAN 的 基 


础 设施 模式 中 ， 则 是 通过 一 种 称 为 无 线 LAN 接 入 点 

(Access Point) 的 装置 ， 将 多 台 个 人 计算 机 连接 到 LAN 
网 段 中 。IEEE 802.11 无 线 网 络 的 AP 可 以 直接 称 为 接 入 
点 。 接 入 点 装置 一 般 会 配备 RJ-45 网 络 接口 同 交 换 机 或 路 
由 器 进行 连接 ， 从 而 使 得 无 线 LAN 的 终端 能 够 访问 有 线 
LAN 或 互联 网 。 





06.03 ”各 种 各 样 的 无 线 LAN 标准 


和 以 太 网 一 样 ， 无 线 LAN 的 标准 也 是 由 IEEE 组 织 制定 
的 。 


以 太 网 标准 统称 为 [EEE 802.3， 而 无 线 LAN 标准 则 统称 
为 IEEE 802.11。 


同 IEEE 802.3 一 样 ，IEEE 802.11 在 物理 层 和 数据 链 路 层 
之 间 也 定义 了 MAC 子 层 。 整 个 IEEE 802.11 标准 定义 了 

无 线 LAN 采用 何 种 频带 和 调制 方式 ， 传 输 速率 能 够 达到 
何 种 程度 等 传输 标准 ， 还 定义 了 安全 性 、QoS、 管 理 、 调 
试 方法 等 各 种 涉及 无 线 LAN 的 相关 内 容 。 


表 6-4 汇总 了 主要 的 无 线 LAN 传输 标准 。 
表 6-4 主要 的 无 线 LAN 传输 标准 





最 大 传 无 线 放 可 


速率 
ee 





























无 需 许可 





六 8 电 
802.11b 11Mbit/s J (CCK 无 需 许 可 


5.15~5.35GHz 
室内 使 用 无 需 
802.11a 54Mbit/s E Ns 
: 5.47~5.725GH 
室内 室外 均 无 
许可 


802.11g 





























2.4GHz 54Mbit/s | OFDM 无 需 许可 








. | 200414.9~5.0GHz 。 
802.11j 本 54Mbit/s | OFDM 


802.11n eS 2.4GHz / 5GHz | 600Mbit/s my 





802.11ac 6.93Gbit/s 





SC (Single 
802.11ad 2 60GH 6.8Gbit/ oe 无 需 许可 
注 证 1 年 口 
| 四 7 |OFDM (MIMO 注 | 全" 
“ 








2.4GHz 频 带 : 
内 室外 均 无 需 


相互 干扰 ， 每 
国家 均 会 指定 
线 电 频段 的 管 
_ | 办法， 指定 频 
(MIMO | 内 的 通信 需要 
到 相关 部 门 的 
可 方 可 使 用 。 
一 一 译 者 注 ] 
5.15~5.35GHz 
室内 使 用 无 需 
可 

5.47~5.725GH 
室内 外 均 无 需 
可 



































5.15~5.35GHz 
_ | 室内 使 用 无 需 
(MIMO 壬 | 可 
5.47~5.725GH 
室内 外 均 无 需 
可 




















注 1: DSSS (Direct Sequence Spread Spectrum ) ， 直 接 序 列 扩 频 。 扩 频 通 信 
技术 的 一 种 ， 在 发 送 一 侧 将 调制 信号 经 过 高 频 巴 元 码 (barker code，11bit 脉 




















冲 码 ) 的 XOR 运算 后 进行 发 送 。 

















注 2: CCK (Complementary Code Keying) ， 补 充 乡 





i 码 键 控 。 不 使 用 巴 死 





码 ， 而 是 使 用 被 称 为 补充 序列 (complementary sequence) 的 代码 对 信号 进行 

















编码 。{[ 为 了 防止 同 频 段 无 线 通 信 的 相互 干扰 ， 每 个 国家 均 会 指定 无 线 电 频 
































段 的 管理 办 法 ， 指 定 频段 内 的 通信 需要 得 到 相关 部 门 的 许可 方 可 使 用 一 
译 者 注 ]) 





注 3: OFDM (Orthogonal Frequency Division Multiplexing) ， 正 交 频 分 复 
用 o 





注 4: MIMO (Multiple Input Multiple Output) {[ 中 文 译 为 多 输入 多 输出 。 
一 一 译 者 注 ]}。 


在 完成 LAN 以 及 WAN 等 网 络 标准 规范 化 工作 的 IEEE 
802 中 ， 制 定 无 线 LAN 相关 标准 的 团体 称 为 IEEE 802.11 
工作 组 (working group) ， 工 作 组 下 还 分 为 很 多 任务 组 
(task group) 。 这 些 任务 组 从 罗 马 字 母 a 开始 编号， 如 

IEEE 802.11b 就 表示 为 TGb (Task Group b) 。 


表 6-5 中 列 出 了 IEEE 802.11 标准 的 清单 。 


表 6-5 IEEE 802.11 标准 一 览 























标准 种 类 





传输 使 用 2.4GHz 以 及 红外 线 频带 、 速 率 为 
标准 1Mbit/s 和 2Mbit/s 的 无 线 LAN 标 准 








使 用 5GHz 频 带 、 最 大 速率 在 54Mbits 的 
无 线 LAN 标 准 





9 |IEEE802.11 的 扩展 。 使 用 2.4GHz 频 带 、 
最 大 速率 为 11Mbit/s 的 无 线 LAN 标 准 











有 线 LAN 与 无 线 LAN 之 间 的 桥接 标准 。 
后 并 入 IEEE 802.1D 








国际 漫游 的 扩展 协议 











802.11e QoS |2005 
A 


A 


802.11h 
802.11i 


应 对 
802.11j 法 律 
限制 






































| 























无 线 LAN 中 实施 QoS 控 制 的 标准 


不 同 厂商 的 AP 之 间 漫 游 的 协议 ， 即 
IAPP (Inter-Access Point Protocol) 标准 

















使 用 2.4GHz 频 带 、 最 大 传输 速率 为 
54Mbits 的 无 线 LAN 标 准 ， 向 下 兼容 
IEEE 802.11b 











为 应 对 欧洲 对 5GHz 频 带 的 使 用 限制 、 作 
为 IEEE 802.11a 的 扩展 而 制定 的 标准 























为 消除 WEP 加 密 的 缺陷 而 对 无 线 LAN 安 
全 机 制 进行 扩展 的 标准 











作为 IEEE802.11a 的 补充 标准 来 应 对 
对 于 5GHz 频 带 的 使 用 限制 























无 线 LAN 中 对 无 线 资源 进行 监控 的 标准 








IEEE 802.11 系 列 标准 文件 的 修订 与 管理 





























使 用 MIMO 技 术 的 高 速 无 线 LAN 标 准 ， 
使 用 2.4GHz 以 及 5GHz 频 带 ， 最 大 速率 可 
达 600Mbit/s 























(移动 装置 ) 可 用 的 无 线 LAN 应 用 
示 准 











实现 高 速 漫游 的 方法 





802.11s 应 用 |2011 | 无 线 LAN 之 间 网 状 组 网 (mesh network 


) 架构 的 标准 











IEEE802.11 测 试 方法 与 检测 相关 的 大 
与 设计 








同 IEEE 802.11 以 外 的 网 络 之 间 进 行 互联 
互通 的 相关 标准 








使 用 802.11k 测 定 的 信息 对 无 线 网 络 进行 
里 的 标准 
















































































IEEE 802.11 管 理 数据 帧 的 安全 相关 标准 























夫 内 使 用 3.65~3.7GHz 频 带 的 无 线 
LAN 标 准 


使 用 5GHz 上 频带、 传输 速率 最 大 能 够 达到 
6.83Gbit/s 的 无 线 LAN 





使 用 60GHz 频 带 、 最 大 传输 速率 为 
6.8Gbit/s 的 短 距 离 无 线 通 信 LAN 标 准 








06.03.01 IEEE 802.11 


最 早 的 IEEE 802.11 标准 于 1997 年 制定 ， 采 用 的 是 工作 组 
命名 (不 含有 罗马 字母 )。 该 标准 规定 了 数据 链 路 层 中 
MAC 子 层 的 媒介 传输 方式 为 CSMA/CA。 


物理 层 采 用 2.4GHz 频带 的 DSSS 方式 或 | 
FHSS (Frequency Hopping Spread Spectrrum， 跳 频 扩 频 技 
术 ) 方式 以 及 红外 线 方式 3 种 标准 (图 6-5、 表 6-6) ， 通 











信 速 率 为 1IMbits 或 2Mbiys。 但 是 该 物理 层 标准 目前 已 经 
不 再 使 用 。 


LLC En 
802.2 逻辑 链 路 控制 〈LLC ) 


Be 
802.11 CSMA/CA 
站 RE 


802.11a 802.11g PHY 
PHY 无 ”无 线 电 波 
线 电 波 2.4GHz 频 带 

2.4GHz 频 2.4GHz 

带 频带 


DSSS/CCK OFDM DSS/CCK 





















































图 6-5 IEEE 802.11 在 网 络 分 层 模型 中 的 地 位 
表 6-6 IEEE 802.11 的 传输 方式 


DSSS (Direct 扩 频 通信 技术 的 一 种 ， 在 发 送 一 侧 将 调制 信号 经 
过 高 频 巴 友人 码 (barker code，11bit 脉冲 码 〉 的 
Sequence Spreo。 |XOR 运算 后 进行 发 送 。 将 信号 分 散在 整个 宽带 
pectrum， 十 
序列 扩 频 ) EO 同 FHSS 祁 比 ， 抗 干扰 性 


差 ， 传输 速 束 度 快 

















扩 频 通信 技术 的 一 种 ， 在 短 时 间 内 变更 信号 发 送 
FHSS (Frequency | 频率 的 通信 方式 。 即 使 某 个 频率 发 生 噪音 干扰 ， 
Hopping Spread ”| 也 能 够 通过 变更 为 其 他 频率 来 修正 数据 ， 选 择 干 
Spectrum， 跳 频 ”| 扰 较 小 的 频率 进行 发 送 。 同 DSSS 相 比 ， 虽 然 传 
扩 频 技术 ) 输 速 度 慢 ， 但 抗 干扰 性 十 分 优越 。 另 外 ， 该 方式 
在 Bluetooth 中 也 能 够 使 用 








红外 线 使 用 红外 线 〈 波 长 为 850~950nm ) 进行 数据 的 无 








线 传输 。 最 大 传输 距离 只 有 20m 左 右 ， 无 法 跨越 
墙壁 等 障碍 物 








(CInfrared ) 








06.03.02 IEEE 802.11a 


IEEE 802.11a 于 1999 年 10 月 制定 ， 最 大 传输 速率 为 
54Mbit/s， 使 用 5GHz 频带 。 


数据 链 路 层 协 议 以 及 数据 帧 格式 均 和 IEEE 802.11 相同 ， 
物理 层 调 制 方式 变 为 OFDM。 


通信 速率 能 够 根据 无 线 电波 的 信号 情况 能 够 做 到 54、 
48、36、24、12、6Mpbs 自 适 应 ， 这 点 通过 无 线 LAN 客 
户 端的 fallback 功能 来 实现 。 


在 可 使 用 的 频带 范围 内 ，5.15~5.35GHz 的 频带 在 室内 使 用 
无 需 许 可 ，5.47~5.725GHz 频带 在 室内 外 使 用 均 无 需 许 
可 。 


IEEE 802.11a 与 IEEE 802.11b 虽 都 于 1999 年 完成 标准 
化 ， 但 由 于 5GHz 频带 在 日 本 和 欧洲 等 地 用 于 气象 雷达 等 
其 他 系统 {[IEEE 名 为 美国 电子 和 电气 工程 师 协 会 ， 属 于 
美国 的 行业 协会 ， 因 此 所 制定 的 标准 往往 会 参考 美国 本 地 
实际 情况 ， 而 美国 的 5GHz 频带 当时 并 没有 这 类 用 途 。 
译 者 注 ]}， 再 加 上 无 线 电波 在 室外 传播 时 使 用 的 天 线 
也 有 所 约束 ， 因 此 该 标准 的 普及 花费 了 不 少时 间 。 后 来 由 
于 日 本 无 线 电 管理 法 律 的 修正 以 及 IEEE 802.11j 这 种 应 对 
法 律 限制 的 新 标准 制定 ， 再 加 上 能 够 使 用 没有 干扰 的 8 个 
频段 ， 因 此 最 近 IEEE 802.11a 才 逐 步 流 行 开 来 。 








06.03.03 IEEE 802.11b 


IEEE 802.11b 于 1999 年 10 月 指定 ， 最 大 传输 速率 为 
11Mbit/s， 使 用 2.4GHz 频带 且 无 需 许 可 。 


数据 链 路 层 协议 与 数据 帧 格式 同 IEEE 802.11 相同 ， 物 理 
层 使 用 基于 DSSS 的 CCK 调制 方式 。 


该 标准 开启 了 无 线 LAN 的 历史 篇 章 ， 在 该 标准 制定 完成 
的 前 后 时 间 段 ， 对 应 IEEE 802.11b 的 廉价 无 线 LAN 卡 开 
始 销售 ， 并 在 之 后 的 几 年 里 得 到 迅速 普及 。 





06.03.04 IEEE 802.11g 


IEEE 802.11g 是 于 2003 年 6 月 制定 的 标准 ， 向 下 兼容 
IEEE 802.11b。 调 制 方式 同 IEEE 802.11a 相同 ， 采 用 
OFDM 方式 ， 最 大 传输 速率 为 54Mbit/s。 


由 于 使 用 了 ISM 频带 的 2.4GHz 频带 ， 因 此 能 够 无 需 许可 
自由 使 用 。 可 是 同 IEEE 802.11a 相 比 ， 更 容易 受到 其 他 无 
线 硬件 设备 的 干扰 ， 很 可 能 造成 实际 速率 下 降 。 


06.03.05 IEEE 802.11n 


IEEE 802.11n 标准 于 2009 年 制定 完成 ， 最 大 传输 速率 为 
600Mbit/s， 该 标准 通过 使 用 MIMO 多 通道 技术 使 传输 速 
率 大 幅 上 升 。 


IEEE 委员 会 于 2006 年 推出 了 Draft 1.0 版 本 {[Draft 这 里 
是 草案 的 意思 ， 即 该 版 本 为 规范 草案 ， 之 后 还 有 可 能 进行 
修改 。 一 一 译 者 注 ]}，2007 年 发 布 了 Draft 2.0。 这 时 市 场 
上 就 已 经 开始 销售 仅 支 持 Draft 版 本 的 无 线 LAN 接 入 点 产 
品 。 因 此 ， 包 括 无 线 LAN 客户 端 内 ， 产 品 在 互联 互通 时 
需要 注意 支持 的 IEEE 802.11n 版 本 信息 。 





IEEE 802.11a、IEEE 802.11b、IEEE 802.11g 能 够 做 到 互联 
互通 。 


06.03.06 IEEE 802.11ac 


IEEE 802.11ac 使 用 5GHz 频带 ， 是 计划 于 2013 年 完成 制 
定 工作 的 新 标准 {[ 该 规范 实际 于 2011 年 起 草 ，2013 年 制 
定 ， 并 计划 在 2014 年 对 外 发 布 。 一 一 译 者 注 ]}。 


在 IEEE 802.11n 标准 中 ， 使 用 MIMO 最 多 利用 4 个 空间 
数据 流 ， 而 在 IEEE 802.11ac 中 ， 则 最 多 能 够 使 用 8 个 数 
据 流 。 每 个 信道 增加 20MHz 或 40MHz 的 带宽 ， 能 够 使 用 
80MHz 或 160MHz 带宽 的 信道 。 如 果 使 用 160MHz 信道 
配 和 8x8MIMO， 则 最 大 通信 速率 能 够 达到 | 6.93Gbit/s。 


06.03.07 IEEE 802.11ad 


IEEE 802.11ad 使 用 无 需 许 可 的 60GHz 频带 ， 是 计划 于 
2013 年 完成 制定 的 最 新 传输 标准 。 虽 然 该 标准 使 用 高 频 
频带 导致 传输 距离 只 有 几米 远 ， 但 是 能 够 达到 最 大 
6.8Gbit/s 的 传输 速率 、 完 成 高 速 通信 。 














06.03.08 ”Wi-EFi 


Wi-Fi 是 在 使 用 了 IEEE 802.11 系列 标准 的 无 线 通 信 设 备 
进行 组 网 时 ， 认 证 不 同 厂商 生产 的 各 个 设备 之 间 能 否 互联 
互通 的 品牌 标识 。 由 业界 团体 Wi-Fi 联盟 完成 互联 互通 的 
认证 {[Wi-Fi Alliance 的 Web 站 点 (英语 ) 是 
http:/www.wi-fi.org/ 。]} 。 


在 酒店 或 公共 设施 中 经 常 可 以 看 到 “能 够 使 用 Wi-Fi” 的 标 
识 ， 这 就 表示 此 处 的 接 入 点 已 通过 Wi-Fi 认证 。 除 了 个 人 
计算 机 外 ， 家 电 以 及 游戏 设备 均 能 够 接受 Wi-Fi 的 认证 。 


凡是 经 Wi-Fi 认证 的 无 线 客户 端 设备 或 接 入 点 均 能 够 无 障 
但 地 互联 互通 


Wi-Fi 还 定义 了 类 似 WPA 这 类 无 线 加 密 的 相关 标准 。 


OIED KFD 








CERTIFIED CERTIFIED® 
Em WE 
CERTIFIED CERTIFIED 


图 6-6 Wi-Fi 的 Logo 


06.04 无线 LAN 搭载 的 各 种 功能 
06.04.01 关联 


使 用 无 线 LAN 的 个 人 计算 机 连接 至 互联 网 或 有 线 LAN 
时 ， 需 要 使 用 基础 设施 模式 ， 通 过 无 线 LAN 接 入 点 完成 
连接 工作 。 


无 线 LAN 终端 同 接 入 点 的 连接 过 程 称 为 关联 
CAssociation) 〈 图 6-7) 。 在 进行 关联 操作 时 ， 个 人 计 
算 机 的 无 线 LAN 适配器 必须 处 于 工作 状态 。 


无 线 LAN 扫描 
客户 端 习 认证 请 求 


| | 3) 认证 应 答 
; 加 关联 请 求 
< 昌 关联 应 答 


人 1， 根据 扫描 结果 获取 信道 或 SSID 信息 

六.(@)， 执行 开放 认证 或 共享 密 钥 认证 

4\@): 接 入 点 接收 来 自 客户 端的 关联 请 求 ， 如 果 请 求 无 误 ， 则 回复 状态 码 为 
“success” 的 应 答 消息 


图 6-7 关联 操作 的 流程 


在 无 线 LAN 中 ， 有 时 个 人 计算 机 《客户 端 ) 可 以 和 多 个 
接 入 点 进行 连接 ， 这 时 就 需要 将 目标 接 入 点 的 SSID 信息 
注册 到 个 人 计算 机 中 。 这 样 ， 个 人 计算 机 就 只 能 接 入 
SSID 同 注 册 SSID 相 一 致 的 接 入 点 。 


接 入 点 会 定期 发 送 名 为 灯塔 (beacon) 的 控制 信号 。 无 线 
LAN 的 客户 端 能 够 根据 灯塔 控制 信号 ， 获 得 AP 的 SSID 
信息 、 文 持 的 无 线 传输 速率 以 及 无 线 信 道 编 写 等 信息 。 


客户 端 在 关联 过 程 中 ， 辐 接 入 点 发 送 关 联 请 求 数据 帧 ， 接 
收 到 请 求 后 则 辐 客 户 端 返回 附带 状态 码 的 关联 应 答 数 
岳 帆 。 


























客户 端 会 确认 来 自 接 入 点 的 状态 码 ， 如 果 得 

到 successful> 的 信息 时 表示 关联 成 功 ， 如 果 返 回 的 是 其 他 
言 妃 则 表示 失败 。 客 户 端 在 收 到 “successful” 的 同时 ， 未 六 会 
分 配 到 一 个 名 Association ID (AID) 的 识别 号 。 


在 LAN 认证 (参见 后 文 ) 时 ， 关 联 需 在 无 线 
LAN 通过 认证 后 才能 进行 。 





关联 过 程 使 用 的 MAC 数据 帧 如 图 6-8 所 示 。 





Duration | Address 116) |Address 5 kiress 3 (6 quUence Address4 (6)】 | Body FCS (4 
1 Control ( 2 ) 0~2312 


( ) 内 单位 为 octet 


Protocol | Type (2)|SuvbType (4) > WEP 值 为 1 则 表示 WEP 的 
St 数据 帧 体 加 密 





( ) 内 单位 为 bit 


IEEE802.11 的 MAC 数据 帧 类 型 分 为 3 类 。 

们 ”管理 数据 帧 ( Managed Frame ) 

人 -1 传递 无 线 信息 的 灯塔 ( Beacon ) 数据 帧 : 默认 时 每 100 毫秒 由 接 入 点 广播 。 

1)-2 认证 使 用 的 认证 数据 帧 : 接 入 点 和 客户 端 之 间 进 行 信 息 交 互 时 使 用 的 关联 数据 帧 。 

2 控制 数据 帧 ( Control Frame ) 

3 纯 数据 帧 ( Data Frame )， 管 理 数据 帧 中 使 用 "Address 1" 表示 目的 地 地 址 ，"Address 2" 表示 发 送 源 
地 址 ,“Address 3" 表示 BSSID 信息 


图 6-8 IEEE 802.11 中 使 用 的 MAC 数据 帧 

IEEE 802.11 MAC 帧 的 数据 域 

表 6-7 汇 总 了 图 6-8 中 各 MAC 帧 的 数据 域 相关 说 明 。 
表 6-7 IEEE 802.11 MAC 帧 的 数据 域 


, | 表明 使 用 IEEE 802.11 协 议 的 版 本 。 接 收 终端 根据 该 信 
息 判 断 是 否 支持 接收 数据 帧 的 协议 版 本 























Type (类 ”| 表示 数据 帧 的 功能 。 有 控制 (contro1) 、 数 据 





型 ) (data) 、 管 理 (management) 三 种 














于 是 的 功能 能 





DS 是 指 分 布 式 系统 (Distributed System ) ， 一 般 只 用 
在 与 接 入 点 关联 的 终端 之 间 传 输 的 数据 帧 类 型 。“1” 表 
示 发 送 源 为 信号 基站 ,“0” 表 示 发 送 源 为 终端 








在 将 上 层 分 组 碎片 〈fragment) 后 进行 发 送 时 使 
用 。 “1 表示 后 续 存 在 碎片 数据 帧 , “0 表示 当 前 数据 
帧 为 最 后 的 碎片 数据 帧 或 不 存在 碎片 数据 帧 


























示 再 次 发 送 数据 帧 ，“0? 表 示 不 再 发 送 该 数据 帧 

















续 发 送 的 分 组 。“1” 表 示 存在 后 续 





表示 是 否 进行 WEP 加 密 。“1” 表 示 进 行 加 密 


oy “1” 表 示 数 据 帧 严格 按照 strictly ordered〈 发 送 接收 顺序 
无 法 替换 ) 的 标准 进行 发 送 


06.04.02 ” 接 入 点 的 接 入 控制 
通过 对 接 入 点 的 设置 ， 无 线 客户 端 就 能 接 入 互联 网 。 


但 是 ， 由 于 无 线 电波 肉眼 不 可 见 ， 因 此 会 造成 外 来 陌生 用 
户 在 未 经 允许 时 ， 擅 自 使 用 接 入 点 的 情况 发 生 。 只 要 在 无 
线 信号 能 够 到 达 的 范围 内 并 知道 SSID， 客 户 出 者 和 EE 够 与 
接 入 点 进行 关联 。 为 了 防止 不 明 第 三 者 使 用 接 入 点 ， 可 以 
使 用 ESSID 隐身 (ESS-ID stealth) 功能 以 及 MAC 地 址 过 


ESSID 隐身 





























SSID 信息 是 由 来 自 接 入 点 的 灯塔 信号 定期 进行 广播 发 送 
的 。 


一 般 而 言 ， 客 户 端 使 用 灯塔 信号 来 确认 同 哪个 SSID 进行 
连接 。 


但 是 ， 由 于 无 线 信 号 能 够 到 达 的 地 方 ， 无 论 是 谁 都 能 够 通 
6 0 


为 了 遏制 这 类 风险 ， 就 可 以 使 用 不 发 出 灯塔 信号 的 ESSID 
隐身 功能 。 客 户 端 需要 通过 其 他 途径 获得 SSID 信息 ， 并 
设置 自身 终端 ， 从 而 完成 隐 菩 的 网 络 连 接 。 该 方法 也 可 以 
称 为 “SSID 广播 无 效 化 ”或 “拒绝 Any”。 


但 是 ， 由 于 SSID 在 无 线 网 络 上 的 传播 并 不 采取 加 密 措 
施 ， 当 某 个 无 线 客户 端 使 用 SSID 同 接 入 点 进行 关联 时 ， 
还 是 可 以 通过 无 线 监控 〈 神 听 ) 工具 获取 该 无 线 网 络 的 
SSID， 因 此 ESSID 隐身 不 能 说 是 非常 完备 的 安全 对 策 。 





如 果 不 设置 ESSID 隐身 功能 ， 接 入 点 
就 会 定期 广播 SSID 信息 SSID= "abcde” 


SSID="abcde" 
SSID='abcdew 7 一 一 无 线 LAN 终端 


网 络 nn 
无 线 LAN 的 接 入 点 未 连接 上 < 


如 果 ESSID 隐身 功能 生效 ， 则 无 法 
有 效 地 获取 SSID 信息 


图 6-9 ESSID 隐身 的 结构 
MAC 地 址 过 滤 


在 接 入 点 中 事先 设置 允许 关联 的 MAC 地址 列表 ， 能 够 防 
止 设置 以 外 的 无 线 客 户 端 接 入 AP 使 用 无 线 网 络 的 情况 发 
生 ， 访 方法 称 为 MAC 地 址 过 滤 或 MAC 地 址 认证 (图 6- 
10) 。 


注册 的 MAC 地 址 MAC 地 址 
00:11:22:33:44:55 00:11:22:33:44:55 
11:22:33:44:55:66 


00:00:11:aa:bb:cc 无 线 LAN 终端 


sy 4 y AL 
网 Cs 无 线 LAN 终端 
未 连接 上 


无 线 LAN 接 入 点 
MAC 地 址 
aa:bb:cc:11:22:33 


图 6-10 “MAC 地 址 过 滤 的 结构 


除了 设置 接 入 点 之 外 ， 还 可 以 通过 RADIUS 服务 器 设置 
允许 访问 接 入 的 MAC 地 址 信息 ， 在 认证 的 同时 完成 
MAC 地 址 过 滤 。 但 是 ，MAC 地 址 同样 能 够 通过 工具 伪装 
和 冒充 ， 对 能 够 接 入 无 线 LAN 的 MAC 地 址 进行 监听 ， 
就 能 够 得 到 具体 的 MAC 地 址 信息 ， 因 此 该 方式 也 同样 不 
能 称 为 完备 的 安全 对 策 。 


06.04.03” 接 入 点 的 认证 


在 接 入 点 上 使 用 ESSID 隐 呈 以 及 MAC 地 址 过 滤 功 能 均 不 
能 完全 防止 第 三 者 恶意 访问 的 情况 ， 因 此 为 了 彻底 防止 不 
明 意图 的 用 户 访 问 接 入 点 ， 需 要 执行 认证 行为 。 

IEEE 802.11 作为 最 初 的 LAN 标准 提供 了 名 为 “开放 系统 
认证 ”和 “共享 密 钥 认证 ”两 种 认证 方式 。 

开放 系统 认证 

开放 系统 认证 〈Open System Authentication ) 属于 无 线 
LAN 认证 方式 中 的 一 种 ， 该 方式 无 需 客户 端 输入 用 户 名 
以 及 密码 等 认证 信息 就 能 辐 接 入 点 发 出 认证 请 求 。 

无 线 LAN 接 入 点 能 够 容纳 所 有 接 入 认证 请 求 ， 这 也 就 意 
味 着 无 论 是 谁 都 能 够 同 接 入 点 进行 关联 。 


开放 系统 认证 一 般 用 于 公共 无 线 LAN 中 。 无 论 是 谁 都 能 
够 完成 接 入 甚至 是 无 加 密 地 接 入 LAN， 因 此 在 使 用 中 还 
需要 配合 IPsec VPN 或 SSL VPN 技术 来 完成 用 户 最 终 访 














问 网 络 的 需求 。 
享 密 钥 认证 


共享 密 钥 认 证 〈Shared Key Authentication ) 在 接 入 点 和 客 
户 端 之 间 进 行 无 线 加 密 通 信 时 使 用 。 使 用 WEP 或 WPA 
加 蜜 标准时， 对接 入 点 以 及 客户 端 预先 设置 同样 的 口令 ， 
通过 该 口令 束 可 以 建立 二 者 间 的 无 线 通 信和 链 路 。 


ee 称 为 预 共 享 密 钥 (pre-shared key) ， 不 知道 该 预 共 
密 钥 的 客户 端 无 法 和 接 入 点 进行 关联 。 


IEEE 802.1X 


IEEE 802.1X 是 用 户 认 证 与 访问 控制 协议 ， 不 仅仅 适用 于 
无 线 LAN， 有 线 LAN 也 同样 适用 。 


IEEE 802.1X 认证 如 图 6-11 所 示 ， 由 认证 请 求 方 、 认 证 
者 、 认 证 服务 器 3 。 请 求 认 证 的 终端 (或 终端 上 
运行 的 请 求 认 证 的 软件 ) 称 为 认证 请 求 方 
CSupplicant) 、 同 终 电 党 相 连 的 接 入 4 点 、 交 换 机 以 及 其 他 
网 络 设备 和 为 认证 者 CAuthenticator) 。 认 证 方式 采用 
EAP (Extensible Authentication Protocol， 扩 展 认 证 协 
议 ) ， 认 证 者 将 来 自 认 证 请 求 方 的 EAP 消息 封装 成 
RADIUS 数据 帧 中 继 给 认证 服务 器 ， 当 认证 服务 器 完成 认 
证 工作 后 ， 认 证 者 会 通知 认证 请 求 方 并 同时 将 认证 请 求 方 
视 为 通过 认证 的 终端 ， 以 后 从 该 终端 发 来 的 MAC 数据 帧 
均 能 够 转发 至 LAN 上 的 其 他 终端 或 互联 网 上 。 


认证 信息 使 用 用 户 名 、 口 令 、 数 字 证 书 等 任意 一 种 方式 即 
可 ， 对 应 的 认证 协议 有 EAP-MD5、EAP-TLS、EAP-TTLS 
等 各 种 类 型 。 | IEEE 802.1X 认证 的 详细 内 容 可 以 参考 
本 书 02.08.09 节 “ 基 于 端口 认证 ”的 相关 内 容 。 





请 认证 者 LAN 认证 服务 器 
( 无 线 LAN 终端 ) ( 无 线 LAN 的 接 入 点 ) ( RADIUS ) 
EAP 








802.1X 认 证 








图 6-11 IEEE 802.1X 中 的 用 户 认 证 
06.04.04 ”无 线 LAN 通信 的 加 密 


空气 中 传输 的 无 线 电 波 只 要 在 覆盖 范围 内 就 能 被 第 三 方 接 
收 到 ， 再 加 上 无 线 LAN 数据 解析 工具 的 存在 ， 恶 意 用 户 
能 够 相当 轻松 地 禄 听 他 人 的 无 线 通 信和 内 容 。 


pa 防止 无 线 通信 被 窃听 以 及 算 改 ， 必 须 在 无 线 通 信 过 程 
中 对 信息 进行 加 密 处 理 。 无 线 LAN 加 密 一 般 有 WEP、 
WPA、WPA2 等 这 些 标准 。 


随 着 计算 机 能 力 的 提高 ， 加 密 技术 也 迅速 发 展 ， 因 此 尽 可 
能 使 用 最 新 的 加 密 标准 比较 好 。 下 面 本 书 将 会 对 各 类 无 线 
LAN 加 密 标准 逐一 介绍 。 











WEP 


WEP (Wired Equivalent Privacy， 有 线 等 效 保密 ) 是 1999 
年 作为 EEE 802.11b 标准 安全 系统 采用 的 无 线 加 密 技术 ， 
通过 使 用 基于 RC4 算法 的 密 钥 加 密 形式 完成 无 线 LAN 数 
据 的 加 密 (图 6-12) 。 该 加 密 方式 的 密 钥 称 为 WEP key。 


WEP 一 共有 3 种 加 密 方式 : 40bit 长 度 的 密 钥 同 24bit 长 
度 的 初始 向 量 (IV，nitialization Vector) 值 组 成 64bit 长 
的 加 密 方 式 ，104bit 长 度 的 密 钥 同 24bit 长 度 的 初始 癌 量 
值 组 成 128bit 的 加 密 方式 ， 以 及 128bit 长 度 的 密 钥 同 
24bit 长 度 的 初始 向 量 值 组 成 152bit 的 加 密 方式 。 


WEP 属于 最 早 的 无 线 安全 标准 ， 密 钥 长 度 越 短 ， 破 解 花 
费 的 时 间 也 越 短 ， 因 此 目前 主流 的 加 密 通 信和 最 短 也 会 采用 





128bit 的 总 密 钥 长 度 ， 甚 至 有 的 还 采用 了 尚未 通过 标准 化 
的 、 由 128bit 长 度 的 密 钥 和 24bit 的 初始 向 量 值 组 成 
152bit 的 WEP 加 密 方式 进行 通信 。 


WEP 密 铀 “abc12” 


无 线 LAN 终端 
加 密 石 连接 、 不 会 被 贸 听 > 


te 


法 连 
无 线 LAN 接 入 点 < 


WEP 密 铀 = “xyz98” 


设置 WEP 密 钥 = “abc12” 


无 线 LAN 终端 


图 6-12 WEP 的 无 线 通 信 加 密 技术 
表 6-8 WEP 密 钥 的 种 类 


能 够 使 用 的 字符 数字 a-z、A-Z、0-9 |A-F、0-9 
40bit (60bit) 的 WEP key 10 位 数 

















104bit (128bit) 的 WEP key a 
128bit (152bit) 的 WEP key opt 


WPA 








WEP 存在 较 明 显 的 脆弱 性 ， 为 了 弥补 该 缺陷 而 制定 的 无 
线 LAN 安全 标准 就 是 WPA (Wi-Fi Protected Access，Wi- 
Fi 保护 接 入 ) 。 


WPA 是 由 Wi-Fi 联盟 于 2002 年 10 月 发 布 的 Wi-Fi 安全 


性 标准 。 该 标准 将 SSID 与 WEP 密 钥 一 同 加 密 ， 并 且 使 
用 了 能 够 定期 自动 更 新 用 户 认 证 功能 和 密 钥 的 

TKIP (Temporal Key Integrity Protocol， 临 时 密 钥 完整 性 
协议 ) 。 

WPA 原本 属于 2004 年 制定 的 IEEE 802.11i 中 加 密 标准 的 
一 部 分 ， 但 为 了 使 实现 了 IEEE 802.11a/b 等 早期 标准 的 硬 
件 设备 也 能 够 使 用 WPA， 因 此 该 加 密 标准 先 于 IEEE 
802.11i 进行 了 公布 。 


WPA 提供 了 用 于 小 规模 的 个 人 模式 (Personal Mode) 和 
用 于 企业 的 企业 模式 (Enterprise Mode) 两 种 模式 。 


在 个 人 模式 中 的 WPA 也 称 为 WPA-PSK， 同 接 入 点 之 间 
连接 的 客户 端 使 用 所 有 密 钥 都 相同 的 预 共享 密 钥 (PSK， 
Pre-shared Key) 方式 。 

企业 模式 的 WPA 主要 用 于 企业 网 络 ， 在 PSK 的 基础 上 增 
加 了 IEEE 802.1X 认证 服务 器 ， 使 得 不 同 用 户 能 够 使 用 不 
同 的 用 户 名 和 密码 连接 至 接 入 点 。 


表 6-9 WEP 与 TKIP 的 比较 


40bit 或 104bit 




















WPA2 


WPA2 是 Wi-Fi 联盟 于 2004 年 9 月 发 表 的 新 版 WPA 标 
准 ， 采 用 AES 作为 加 密 算法 。AES 多 用 于 IPsec 以 及 SSL 
等 协议 中 ， 同 WEP、WPA 所 使 用 的 RC4 相 比 ， 加 密 的 安 
全 性 更 高 ( 表 6-10) 。AES 支持 长 度 为 128bit、 
196bit、256bit 的 密 钥 ，WPA2 使 用 其 中 的 128bit 长 度 类 
型 。WPA2 兼容 前 一 代 WPA， 支 持 WPA2 的 硬件 设备 和 
只 支持 WPA 的 设备 也 能 够 进行 通信 。AES 中 采用 了 类 似 
TKIP 的 协议 CCMP (Counter mode CBC-MAC protocol， 
CBC-MAC 计数 模式 协议 ) ， 其 中 CBC-MAC (cipher 
block chaining/message authentication code) 是 密码 段 连接 / 
消息 认证 码 的 意思 。 


接 入 点 的 加 密 设 置 可 以 选择 WPA-PSK (TKIP) 、WPA- 
PSK (AES) 、WPA2-PSK (TKIP) 或 WPA2- 
PSK (AES) 。 





IEEE 802.11i 


IEEE 802.11i 是 由 IEEE 在 2004 年 完成 标准 化 的 无 线 LAN 
安全 标准 。 虽 然 之 前 无 线 LAN 有 WEP 加 密 标准 ， 但 其 安 
全 性 尚 不 足以 保障 高 安全 的 通信 过 程 。 


因此 ，IEEE 802.11i 成 为 了 新 版 无 线 LAN 安全 性 标准 。 
在 该 标准 的 标准 化 工作 完成 之 前 ，Wi-Fi 联盟 使 用 了 其 中 
的 部 分 内 容 作 为 WPA 加 密 标准 进行 了 发 布 。 

IEEE 802.11i 加 密 通信 标准 几乎 包括 WPA、WPA2 的 所 有 
内 容 ， 另 外 还 添加 了 IEEE 802.1X 与 EAP 作为 用 户 认证 
的 标准 。 


表 6-10 WEP/WPA/WPA? 的 比较 





WEP ba WPA2 


CCWi-Ei 
Alliance ) CIEEE 802.11i) 


(IEEE 802.11 ) 





标准 制 “|1997 年 2002 年 2004 年 
定时 间 





a CCM (Counter 
基于 CRC32 的 校 验 和 with CBC-MAC) 











WEP 自身 不 提供 但 可 和 或 PSK 或 IEEE 
IEEE 802.1X 配合 使 用 802.1X 











06.04.05 ”自治 型 接 入 点 


能 够 自身 进行 无 线 控制 以 及 安全 管理 功能 设置 的 接 入 点 称 
为 自治 型 接 入 点 (Autonomous Access Point) ， 与 其 相对 
的 概念 是 集中 管理 型 接 入 点 。 在 通过 1 台 或 者 多 台 的 接 入 
点 构建 无 线 LAN 时 ， 部 署 自 治 型 接 入 点 较为 轻松 ， 费 用 
也 相对 低廉 。 在 多 人 台 接 入 点 环境 中 ， 知 想 变更 通用 的 安全 
策略 等 参数 设置 时 ， 需 要 重新 设 定 每 一 台 接 入 点 。 


06.04.06 ”集中 管理 型 接 入 点 


在 大 规模 办 公 区 这 种 很 广 的 范围 内 部 闭 LAN 时 ， 需 要 管 
理 的 接 入 点 数目 非 党 庞大。 这 种 情况 下 ， 每 个 接 入 点 只 需 
保留 最 基本 的 设置 ， 安 全 策略 等 组 网 共同 的 参数 则 通过 一 
种 称 为 无 线 LAN 控制 器 《无 线 LAN 交换 机 ) 的 硬件 设备 
进行 集中 统一 设置 与 管理 ， 这 类 无 线 LAN 中 的 接 入 点 就 








称 为 集中 管理 型 接 入 点 。 


2002 年 Airspace 公司 〈2005 年 被 思科 公司 收购 ) 开发 了 
LWAPP ee Access Point Protocol， 轻 型 接 入 点 
协议 ) ， 通 过 该 协议 接 入 点 能 够 只 需 完成 MAC 管理 和 数 
据 帧 控制 ， 认证 以 及 安全 等 功 人 E 则 交 给 无 线 LAN 控制 
器 ， 这 样 的 接 入 点 称 为 轻型 接 入 点 (Light weight Access 
Point) 。 


只 要 是 支持 LWAPP 的 接 入 点 ， 不 管 是 哪个 厂家 生产 的 都 
可 以 进行 上 述 管 理 。LWAPP 协 议 在 RFC5412 文档 中 进行 
描述 ， 但 标准 化 工作 却 未 能 进行 ， 因 此 只 能 放 于 Historic 
分 类 中 。 在 RFC 标准 体系 中 ，CAPWAP (Control And 
Provisioning Of Wireless Access Points, 无 线 接 入 点 的 控制 
和 配置 的 制定 基于 LWAPP 协议 ， 通 过 RFC5415 以 及 
RFC5416 完成 了 标准 化 。 


接 入 点 由 于 产品 类 型 以 及 软件 版 本 的 不 同 ， 有 些 产 品 只 文 
持 LWAPP 协议 ， 而 有 些 产 品 只 支持 CAPWAP。 新 上 市 
的 产品 一 般 都 支持 CAPWAP。 


无 线 LAN 控制 器 有 供 小 规模 无 线 LAN 网 络 使 用 的 产品 ， 
例如 1 台 控 制 器 管理 10 台 左 右 的 接 入 点 ， 也 有 供 大 规模 
无 线 LAN 网 络 使 用 的 控制 器 产品 ， 例 如 1 人 台 控 制 器 控制 
多 达 2000 台 以 上 的 接 入 点 。 


06.04.07 “无线 LAN 的 桥接 


在 无 法 布线 的 和合 宇 之 间 以 及 在 物理 位 置 相 距 较 远 的 站 反之 
间 部 署 无 线 连接 时 ， 需 要 使 用 无 线 LAN 的 桥接 技术 。 


在 通信 距离 较 长 时 ， 需 要 使 用 导 问 天 线 来 增强 东 个 特定 方 
回 的 电波 强度 。 














个 人 计算 机 





个 人 计算 机 


图 6-13 桥接 示意图 


06.04.08 ”中 继 器 连接 


通过 连接 中 继 器 ， 将 从 无 线 LAN 客户 端 收 到 的 数据 转发 
给 拥有 相同 SSID 的 接 入 点 ， 就 能 够 扩大 无 线 LAN 的 范 
(图 6-14) 。 


1 级 中 继 器 连接 后 ， 网 络 否 叶 率 会 减 半 。 









十-… EE LAN 


无 线 LAN 接 入 点 
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图 6-14 中 继 器 连接 图 


06.05 ”无线 LAN 通信 速率 与 覆盖 范围 
的 要 点 


参考 无 线 LAN 标准 ， 可 以 得 知 IEEE 802.11b 最 大 支持 
11Mbit/s 的 传输 速率 ，IEEE 802.11g 最 大 支持 54Mbit/s 的 
传输 速率 ， 不 过 需要 注意 这 里 的 速率 数据 都 是 在 最 优 条 件 
下 得 出 的 值 。 


无 线 LAN 和 有 线 LAN 不 同 ， 通 信 速 率 根据 与 接 入 点 之 间 
距离 的 变化 以 及 建筑 物 、 墙 壁 等 物理 障碍 物 阻挡 程度 的 不 
同 ， 会 有 很 大 差异 。 


06.05.01 无 线 LAN 的 最 大 通信 速率 


虽然 说 有 线 LAN 的 以 太 网 类 也 有 最 大 通信 速率 的 限制 ， 
但 是 快速 以 太 网 的 100Mbit/s 和 IEEE 802.11g 的 54Mbit/s 
都 表示 的 是 在 物理 层 进 行 数据 通信 时 的 传输 速率 极限 。 


另外 ， 由 于 在 无 线 LAN 中 使 用 了 CSMA/CA 的 冲突 回避 
协议 ， 使 得 数据 在 发 送 时 有 等 待 的 时 间 。 因 此 无 线 LAN 
实际 的 最 大 通信 速率 一 般 在 IEEE 802.11a 中 只 能 达到 20 
多 Mbit/s，IEEE 802.11b 中 只 能 达到 4.5Mbit/s， 在 IEEE 
802.11g 中 只 能 达到 20Mbit/s 左右 。 

















06.05.02 ” 履 盖 范 


在 基础 设施 模式 下 ， 终 端 能 够 同 接 入 点 进行 通信 的 最 大 距 
离 半 径 称 为 履 盖 范围 《〈coverage area) ， 也 称 为 小 区 
(cell) 。 根 据 终端 同 接 入 点 之 间距 离 的 不 同 ， 最 大 数据 
传输 速率 (最 大 传输 速度 ) 也 会 有 所 不 同 ， 离 接 入 点 越 
远 ， 通 信和 延迟 越 大 ， 数 据 传输 速率 也 就 越 低 。 在 没有 障碍 
物 的 前 提 下 ， 无 线 LAN 的 禾 盖 范围 如 图 6-15 所 示 ， 呈 同 
心 圆 状 分 布 。 











11Mbit/s 
5.5Mbit/s 


2Mbit/s 


1Mbit/s 


图 6-15 ”通信 和 宪 盖 的 范围 
不 同 无 线 LAN 标准 的 数据 传输 速率 
IEEE 802.11a/b/g 中 采用 OFDM 调制 方式 提供 了 8 个 数据 
由 DSSS 调制 方式 则 提供 了 4 个 数据 传输 速率 
( 表 6-11) 。 


表 6-11 IEEE 802.11a/b/g 的 数据 传输 速率 


调制 方式 数据 传输 速率 Mbits) 
IEEE 
ee es 





IEEE DSSS、 1/2/5.5/6/9/11/12/18/24/36 
802.11g OFDM /48/54 

IEEE 

802.11b DSSS 1/2/5.5/11 


IEEE 802.11n 的 数据 传输 速率 


IEEE 802.11n 使 用 OFDM 调制 方式 ， 能 够 根据 各 种 可 选 
调制 方式 与 符号 速率 ， 定 义 0 至 31 个 MCS 索引 





(Modulation and Coding Scheme index) ， 每 个 MCS 索引 
又 分 别 定 义 了 一 种 数据 传输 速率 。 表 6-12 列 出 了 各 MCS 
索引 使 用 的 数据 流 数 量 、 调 制 方式 以 及 数据 传输 速率 。 


数据 传输 速率 根据 信道 带宽 和 保护 间隔 (GI，Guard 
Interval ) 1 的 组 合 在 每 个 MCS 中 存在 4 种 模式 。 


1 当 被 建筑 物 或 墙壁 反射 回来 的 无 线 电 波 经 过 多 条 路 径 到 达 接 收 方 (多 径 传 
输 ) 时 ， 延 迟 的 信号 可 能 会 与 后 续 信号 同时 到 达 ， 这 会 造成 多 个 数据 信号 
成 电磁 波 进 而 形成 噪音 干扰 的 现象 发 生 。 为 了 防止 这 种 噪音 干扰 ， | 
一 部 分 后 续 数 据 来 制造 出 前 后 信号 之 间 的 间隔 ， 该 间隔 即 称 为 保护 间隔 。 
































公民 














使 用 20MHz 作为 信道 带宽 的 称 为 HT20 模式 ， 使 用 
40MHz 作为 信道 带宽 的 则 称 为 HT40 模式 。 


在 IEEE 802.11n 中 ， 通 过 MIMO 技术 能 够 将 发 送 数据 分 
割 成 多 个 数据 流 Re ( 即 数 据 信道 ) ， 每 条 独立 的 
数据 流通 过 多 个 天 线 使 用 相同 的 频带 同时 发 送 。 在 使 用 
HT40 模式 时 ， 单 个 数据 流 能 够 获得 150Mbits 的 行 吐 量 ， 
因此 在 根据 正 EE 802.11n 标准 使 用 最 多 4 条 数据 流 时 ， 理 
论 上 和 能够 得 到 最 大 600Mbits 的 数据 传输 速率 。 


在 HT20 模式 下 时 ， 单 个 数据 流 最 大 也 能 够 获得 75Mpbs 
的 吞吐 率 。 


对 HT40 模式 继续 扩 展 ， 使 用 80MHz 或 160MHz 作为 信 
道 带宽 时 ， 能 够 得 到 2 倍 甚 至 4 倍 于 IEEE 802.11n 的 通信 
速率 ， 目 前 能 够 实现 该 通信 速率 的 IEEE 802.11ac 标准 正 
在 制定 中 。 


在 IEEE 802.11n 中 使 用 2.4GHz 频 市 时 ， 如 果 每 条 信道 使 
用 20MHz 的 带宽 ， 最 多 也 够 有 3 条 信道 同时 工作 ， 而 如 

果 使 用 40MHz 带宽 则 只 有 1 条 可 用 信道 道 ， 因 此 在 2.4GHz 
频带 下 几乎 不 使 用 HT40 模式 。 


保护 间隔 在 IEEE 802.11a/g 使 用 的 800ns 基础 上 ， 又 添加 
了 400ns。 


目前 (2011 年 9 月 ) 市 场 上 只 有 支持 两 条 数据 流 的 产 























品 ， 支 持 所 有 数据 速率 的 无 线 LAN 硬件 尚未 出 现 。IEEE 
802.11n 中 HT20 模式 可 以 选择 400ns 作为 数据 传输 速率 
的 保护 间 隔 ， 也 尚 无 支持 该 项 特性 的 无 线 模块 在 市 场 上 销 


号 0 


表 6-12 各 MCS 索引 对 应 的 数据 传输 速率 
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。 多 径 


MIMO 使 用 配 有 天 线 的 多 个 无 线 通信 线路 使 通信 速率 
大 幅 上 升 。 


空间 上 相互 独立 的 多 个 天 线 会 同时 发 送 频率 相同 的 无 
线 信号 〈 图 6-16) ， 各 个 同 频 信号 可 以 称 为 空间 数据 
流 。 各 空间 数据 流 由 发 送 天 线 进行 路 径 “ 分割， 最 终 
到 达 多 个 接收 天 线 。 


发 送 方 使 用 空 时 编码 (STC，Space-Time Coding) 将 
发 送信 号 在 时 间 和 空间 上 进行 重组 形成 并 列传 输 信 








号 ， 然 后 通过 M 个 天 线 发 送 通信 电波。 


接收 方 通过 N 个 天 线 接收 多 径 传 输 来 的 无 线 电波 ， 
同样 使 用 空 时 解码 (STD，Space-Time Decoding) 对 
信号 进行 分 离 组 合 ， 从 而 成 功 接收 所 有 信和 号 。 







@) 接收 天 线 接收 来 自 于 多 


中 通过 在 时 间 和 空间 上 对 信息 进行 组 合 与 替 
换 ， 将 发 送 数据 分 离 成 M 个 数据 流 。 通 过 
M 个 发 送 天 线 在 空间 中 发 送 。 


个 发 送 天 线 的 混合 信号 





席 花 成 涉 
请 苏 球 阔 


传输 容量 基本 与 天 线 
数量 成 正比 












STD 
(@ 将 分 离 的 信号 组 合 ， 
形成 接收 数据 


图 6-16 使 用 MIMO 进行 无 线 通 信 


在 多 径 传输 中 通过 使 用 多 条 路 径 ， 能 够 与 天 线 数量 
空间 数据 流 ) 形成 正比 来 提高 无 线 数据 的 传输 速 


/又 o 


(3) N 个 接收 天 线 接收 无 线 电波 后 ， 进 行 空 时 


解码 ( STD ) ， 去 除 混杂 在 多 个 信号 中 的 
干涉 信号 ， 将 不 同 的 信号 分 离 





| 指 空间 上 的 传输 路 径 。 多 个 路 径 汇总 后 形成 多 径 传播 。 


天 线 数量 
如 图 6-17、 图 6-18 中 所 示 ， 文 持 IEEE 802.11n 标准 的 无 


线 LAN 接 入 点 同时 带 有 多 个 天 线 。 


空间 数据 流 的 数量 依赖 于 天 线 的 数量 ， 一 般 使 

用 “axb:c” 或 “axb” 来 表示 无 线 LAN 硬件 所 能 使 用 的 天 线 数 
量 。a 表示 发 送 天 线 或 发 送 的 无 线 信 号 数量 ，b 表示 接收 
天 线 或 接收 的 无 线 信 号 数 两 ，c 表示 可 以 利用 的 最 大 空间 
数据 流 的 数量 。IEEE 802.11n 最 大 支持 4x4:4 的 数量 。 
IEEE 802.11n 对 应 的 无 线 LAN 装置 一 般 有 2x2:2， 
2x3:2，3x3:2 等 规格 。 例 如 2x3:2 表示 由 2 根 发 送 天 线 与 
3 根 接 收 天 线 组 成 ， 使 用 2 个 空间 数据 流 进行 无 线 数据 的 


传输 。 


也 有 便 件 规格 说 明 书 中 采用 了“ 天线 : 3 根 发 送 、3 根 接 
收 ” 这 种 形式 来 描述 。 














图 6-17 ”3x3:3 规格 的 WZR-450HP (Buffalo 公司 ) 





图 6-18”2x2:2 规格 的 WHR-HP-G300N (了 Buffalo 公司 ) 


收发 天 线 各 有 两 根 ， 整 体 使 用 2MHz 带 宽 进 行 通信 。 最 大 速 
率 为 144.4MHz 


ey 发 送 ， 使 用 3 根 天 线 进行 接收 。 收发 均 使 用 
条 数据 流 进行 。 通 过 3 根 天 线 对 接收 的 数据 进行 整合 ， 合 

















效果 多 样 化 即使 在 障碍 物 阻 挡 导 致 无 线 信 号 反射 的 环境 
下 ， 也 能 够 稳定 地 通信 

















收发 均 使 用 4 根 天 线 进 行 ， 使 用 40MHz 带 
2x2 结 构 的 2 倍 











06.05.03 干涉 


根据 词典 的 解释 ， 波 的 干涉 意 为 “两 个 以 上 相同 种 类 的 小 
在 某 点 相遇 时 ， 使 该 点 处 波 的 振幅 为 两 个 波 振幅 之 和 的 现 
象 "。 不 仅仅 是 无 线 LAN 使 用 的 电磁 波 有 该 现象 ， 光 波 、 
声波 均 会 发 生 干 涉 现象 。 


在 电气 传输 中 会 产生 电磁 疲 ， 但 出 现 预料 之 外 的 电磁 波束 
是 造成 干涉 现象 的 原因 。 比 如 突然 出 现 的 雷 声 会 造成 收音 
机 杂音 的 混入 等 。 


在 无 线 通信 中 ， 不 同 的 、 频 率 的 无 线 电波 均 有 各 目的 传输 
路 径 ， 在 各 传输 路 径 上 进行 数据 的 收发 ， 这 个 传输 路 径 惑 
称 为 信道 (channel) 。 


在 电磁 波 能 够 到 达 的 范围 内 ， 如 果 多 个 无 线 LAN 系统 在 
同一 条 信道 内 进行 通信 ， 束 会 及 生 干 涉 现象 。 


另外 ， 如 同 打雷 造成 收音 机 杂音 的 例子 ， 那 些 诸如 雷电 、 
微波炉 携带 的 电磁 波 如 果 和 载 有 无 线 LAN 数据 的 电磁 波 
发 生 重合 ， 束 会 破坏 Bs 重信 的 结 
果 。 这 类 情况 也 属于 干涉 现象 。 


防止 打雷 这 类 电磁 波 币 来 的 影响 非 第 困难 ， 但 是 避免 来 日 
人 LAN 系统 的 干涉 还 是 可 以 通过 更 改 信道 信息 做 
到 的 。 











06.05.04 ”无 线 LAN 信道 


无 线 LAN 标准 中 使 用 2.4GHz 和 5GHz 频带 ， 各 频带 均 存 
在 多 条 信道 。 在 办 公 室 内 设置 接 入 点 时 ， 为 了 防止 干涉 需 
要 将 信道 设置 为 内 咀 式 。〈 图 6-19) 





区 范围 内 会 a 
发 生 : /一 





不 会 发 生 干 涉 的 信道 设置 


图 6-19 防止 干涉 的 信道 


IEEE 802.11b 的 信道 


IEEE 802.11b 中 定义 了 从 1 至 14 的 14 个 信道 。 但 并 不 是 
说 ， 只 要 选择 了 数字 不 相同 的 信道 就 一 定 不 会 发 生 干 涉 。 


如 图 6-20 所 示 ，1ch 使 用 的 频带 同 2ch~5ch 使 用 的 频带 有 
一 定 的 重合 ， 因 此 还 是 会 发 生 干 涉 。 这 样 看 来 ， 在 IEEE 
802.11b 中 能 够 使 用 不 发 生 干 涉 的 最 大 信道 数量 有 4 个 
(1ch、6ch、11ch、14ch) 。 


如 果 附 近 有 使 用 了 1ch 的 无 线 LAN 系统 ， 则 须 将 2ch、 
7ch、12ch 这 三 组 信道 组 合 使 用 。 














与 信道 1 不 会 发 生 干 涉 的 只 有 


信道 1 信道 6 。 ”信道 6~14 ( 其 中 信道 14 只 在 
11b 标准 中 定义 ) 








2.401GHz 2.483GHz 2.495GHz 
图 6-20 IEEE 802.11b 的 信道 干涉 
表 6-13 IEEE 802.1lb 的 信道 与 频带 


二 带 (GHz) 





中 心 频带 (GHz) 


2.401 2.423 2.412 
[al 2.406 2.428 2.417 
人 2.411 2.433 2.422 








2.436 2.458 2.447 


9ch 2.441 2.463 2.452 


2.446 2.468 2.457 
2.451 2.473 2.462 
2.456 2.478 2.467 


2.461 2.483 2.472 
2.473 2.495 2.484 








注 1: 只 有 IEEE 802.11b 中 存在 。 





IEEE 802.11a 的 信道 


IEEE 802.11a 是 使 用 5GHz 频带 的 无 线 LAN 标准 。 在 该 
标准 颁布 时 ， 由 于 日 本 无 线 电 管理 法 对 该 频段 有 所 限制 ， 
因此 日 本 分 割 的 频带 同 美 国 、 欧 洲 有 很 大 的 不 同 。 


在 2003 年 的 世界 无 线 通 信 大 会 上 ， 诸 国 对 5GHz 频带 的 
分 配 意 见 达 成 共识 ， 因 此 日 本 也 于 2005 年 修改 了 无 线 电 
管理 法 相关 法 规 。 


如 此 一 来 ， 各 无 线 信 道 的 中 心 频带 以 10MHz 划分 ， 同 国 
际 标 准 一 致 ， 而 且 在 原 有 的 基础 上 又 添加 了 
5.25~5.35GHz 〈 室 内 使 用 无 需 许 可 ) 与 4.9~5.0GHz (室外 
使 用 ) 两 个 频带 。 其 中 4.9~5.0GHz 频带 于 2004 年 12 月 
由 IEEE 802.11j 完成 了 标准 化 工作 {[ 我 国 5GHz 频带 也 正 
有 工信部 处 于 规划 阶段 ，5150-5350MHz 已 划 出 供 Wi-Fi 
使 用 。 详 情 可 参考 
http:/www.ccstock.cn/finance/hangyedongtai/2013-08- 
07/A1283907.html 。 译 者 注 ]}。 


另外 ，2007 年 1 月 日 本 再 上 度 修改 了 无 线 电 管理 法 ， 叉 添 

加 了 5.47~5.72GHz 之 间 的 11 个 信道 (W56) 。 目 前 , 日 

本 在 5GHz 频带 能 够 使 用 的 无 线 LAN 信道 有 多 达 19 个 
(图 6-21) 。 


在 使 用 支持 IEEE 802.11a 标准 的 无 线 LAN 接 入 点 时 ， 需 
要 注意 其 使 用 的 信道 频带 是 否 符合 需求 。 无 线 LAN 的 接 
入 点 还 可 以 通过 升级 固件 将 支持 的 旧 信 道 升级 为 支持 新 的 











信道 。 


5.15GHz 5.25GHz 5.35GHz 5.45GHz 


国际 标准 802.11a 使 用 的 信 
道 。 新 增 了 4 个 





5.45GHz 5.55GHz 5.65GHz 5.75GHz 


2007 年 1 月 新 增加 的 11 
个 信道 








S50GHr SGHy S54GHe 1 S566He S506He SGHry S62GH: S64GHe | S66GHr S68GH: S70GHr 
100ch 104ch 106ch Veh 6eh ‘200 1240h 1280h 32ch A HOch 


图 6-21 日 本 5GHz 频带 中 信道 的 发 展 


在 IEEE 802.11a 中 J52 标准 范围 内 使 用 时 ， 如 图 6-21 所 
示 ， 所 有 信道 均 能 够 无 干涉 地 使 用 。 


在 W52 与 W53 标准 范围 内 使 用 时 ， 所 有 信道 也 能 够 无 干 
涉 地 使 用 ， 但 J52 和 W52 中 的 无 线 信道 不 能 同时 使 用 。 


IEEE 802.11g 的 信道 


在 IEEE 802.11g 标准 中 ， 有 1 至 13 共 13 个 信道 。 频 段 划 
分 同 IEEE 802.11b 中 1ch 至 13ch 完全 相同 ( 表 6-13) 。 
这 些 信道 之 间 最 多 能 够 无 干涉 使 用 的 信道 数量 有 3 个 (如 
lch、6ch 和 11ch 的 组 合 ) 。 


IEEE 802.11g 同 IEEE 802.11a (5GHz 频带 ) 一 样 使 用 
OFDM 技术 能 够 文 持 最 大 通信 速率 为 54Mbit/s 的 高 速 传 
输 。 但 因为 使 用 的 是 2.4GHz 频带 〈ISM 频带 3 ) ， 所 以 
和 其 他 硬件 间 的 干涉 较 多 ， 实 际 否 吐 速率 要 低 于 IEEE 
802.11a。 








3 Industrial Scientific Medical， 工 业 、 科 学 和 医疗 用 波段 ， 有 很 多 非 通信 和 领 
域 的 设备 使 用 该 频段 工作 。 一 一 译 者 注 





IEEE 802.11n 的 信道 


2007 年 6 月 日 本 修改 了 无 线 电 管 理 法 。 在 这 之 前 的 无 线 
LAN 数据 传输 ， 如 图 6-22 所 示 只 能 使 用 1 个 20MHz 带宽 
的 信道 ， 但 无 线 电 管理 法 修改 以 后 ， 如 图 6-23 所 示 可 以 
同时 使 用 相 邻 的 信道 ， 在 40MHz 的 带宽 中 传输 数据 。 这 
样 一 来 ，IEEE 802.11n 最 大 通信 速率 的 理论 值 也 从 
144.4MHz 提升 到 300MHz。 


1 个 信道 =20MHz 带宽 





5.17 5.18 5.19 .5.2 5.21 5.22 5.23 5.24 5.25 5.26 5.27 5.28 5.29 .5.3 5.31 5.32 5.33( GHz) 


图 6-22 5GHz 频带 下 每 信道 20MHz 中 能 够 使 用 8 条 信 
首 


1 个 信道 =40MHz 带宽 





5.17 5.18 5.19 5.2 5.21 5.22 5,23 5.24 5.25 5.26 5.27 5.28 5.29 5.3 5.31 5.32 5.33( GHz ) 


图 6-23 5GHz 频带 下 每 信道 40MHz 中 能 够 使 用 4 条 信 
首 


06.05.05 ” 接 入 点 的 最 大 通信 范围 


无 线 LAN 通信 中 ， 离 开 接 入 扣 多 远 依然 能 够 进行 通信 ? 
和 其 他 无 线 电 产 品类 似 ， 这 一 问题 的 答案 取决 于 天 线 。 天 
线 根据 不 用 的 用 途 分 为 不 同 的 种 类 ( 表 6-14) 。 


家 庭 以 及 小 型 办 公 区 经 和 常 使 用 不 定 问 型 的 天 线 。 在 无 线 
LAN 的 通信 距离 中 ， 室 内 徐 新 的 范围 一 般 在 几 十 米 至 几 
百 米 之 间 ， 室 外 履 盖 的 范围 则 稼 常 需 要 达到 几 百 米 至 几 公 








里 的 程度 。 
表 6-14 天 线 的 种 类 








能 够 全 方位 发 送信 号 





使 用 2 根 一 波长 或 半 波 长 的 细 金 属 棒 制作 的 
天 线 ， 一 般 在 接 入 点 中 作为 标准 天 线 使 用 


接线 天 线 、 
(Patch 在 墙壁 或 天 井 处 展开 ， 问 某 一 方 同 发 出 信号 


Antenna) 
































, 宇 | 向 某 个 方向 的 狭 害 范 围 发 出 强力 信和 号， 一般 
八木 天 线 在 道路 、 隧 道 、 办 公 室 之 间 连 接 时 使 有 




















殷 物 面 天 线 。 | 定 “| 向 某 一 方向 非常 狭窄 的 范围 发 出 强力 信号 ， 
一 般 在 连接 长 距离 办 公 室 时 使 用 





























Antenna) 





峙 
过 





5.5Mbit/s 


11Mbit/s 











图 6-24 茶 产 品 无 线 履 瘟 范 围 示 例 


06.06 ”无 线 LAN 的 接 入 点 产品 

06.06.01 产品 规格 书 的 阅读 方法 

无 线 LAN 接 入 点 产品 的 规格 书 如 表 6-15 所 示 ， 该 规格 书 
以 无 线 LAN 搭载 的 各 种 功能 (参见 06.04 节 ) 以 及 各 传 
输 标 准 信道 的 相关 信息 为 主要 内 容 。 


表 6-15 ”无线 LAN 接 入 点 产品 规格 书 范例 
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06.06.02 无线 LAN 硬件 的 制造 厂商 
用 于 企业 的 无 线 LAN 产品 以 思科 公司 的 Aironet 为 代表 ， 


Aruba Networks 公司 、Contec 公司 4、Allied Telesis 公 
司 、Proxim Wireless 公司 、Motorola Solutions 公司 的 产品 


均 在 业内 赫赫 有 名 。 


4 1975 年 成 立 于 日 本 电子 产品 公司 。 














Cisco Aireonet 


一 译 者 注 





思科 公司 的 Aireonet 系列 无 线 LAN 产品 在 日 本 以 及 在 全 
世界 都 享有 很 高 的 市 场 占 有 率 ， 其 前 身 是 在 FCC 开放 
ISM 频带 后 的 1986 年 ， 由 私人 ”创办 的 加 拿 大 








Telesystem SLW 公司 销售 的 


ARLAN 系列 产品 。 


Telesystem SLW 公司 在 1992 年 被 Telxon 公司 收购 ， 随 后 


无 线 通信 部 门 在 1994 年 独立 出 来 ， 设 立 了 新 公司 Aironet 
Wireless Communication。1999 年 思科 公司 收购 该 公司 ， 
站 宣 现 今 。 








”该 公司 创始 人 为 前 马 可 尼 无 线 通 信 公 司 的 员工 。 一 一 译 者 注 





Cisco Aironet 系列 产品 的 无 线 LAN 接 入 点 如 表 6-16 所 
未 


表 6-16 Cisco Aironet 系列 


双 频 IEEE 802.11a/b/g 


接 入 点 产品 。 内 置 天 
线 、 外 形 美观 、 部 署 
方便 ， 适 合 办 公 室 使 
用 。 有 自治 型 和 集中 
管理 型 两 种 可 以 选择 



































， 多 用 于 企业 的 
站 802.11n 接 入 点 
产品 。 产 品 设计 适用 
于 办 公 环 境 ， 支 持 标 
准 的 IEEE 802.3af 
Power over Ethernet， 






































1140 部 署 方便 电源 消耗 
系列 bE 少 。 能 够 提供 高 可 靠 
( 室 ‘lico 性 以 及 稳定 性 的 

内 WLAN 禾 盖 ， 对 于 支 

AP) 持 IEEE 802. 11a/b/g 标 





准 的 老 客 户 端 以 及 文 


| 持 IEEE 802.11n 的 新 
De ee/ 客户 端 均 能 保持 兼容 




















并 提升 了 用 户 体 验 。 
有 自治 型 和 集中 管理 
型 两 种 可 以 选择 





符合 Wi-Fi 802.11n 
Draft 2.0 标 准 的 商用 
型 接 入 点 产品 。 能 够 
提供 高 可 靠 性 以 及 稳 
定性 的 WLAN 覆 盖 ， 
对 于 支持 IEEE 
802.11a/b/g 标 准 的 老 
客户 端 以 及 支持 IEEE 
802.1ln 的 新 客户 端 都 
均 能 保持 兼容 并 提升 
了 用 户 体 验 。 使 用 了 
MIMO (Multiple- 
Input Multiple- 
Output， 多 输入 输 
出 ) 技术 保障 稳定 
性 ， 能 够 在 2.4GHz 和 
5GHz 频 带 工作 ， 提 
供 最 大 300Mbit/s 的 数 
据 传输 速率 








第 二 代 双 频 IEFE 





HHo 

耐用 。 适 应 工作 温度 
的 范围 广 。 通 过 加 装 
外 部 天 线 ， 能 够 禾 兰 
很 大 的 范围 。 在 工 
厂 、 仓 库 、 店 铺 等 各 
种 RF 环境 中 均 能 够 灵 
活 组 网 配置 。 有 自治 
型 和 集中 管理 型 两 种 
可 以 选择 
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系列 
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单 频 IEEF 802.11a/b/g 
室外 接 入 点 /网 桥 产 
品 。 最 适合 用 于 室外 
空间 、 校 园 内 网 络 连 
接 以 及 移动 网 络 的 基 
础 设施 建设 中 。 有 自 
治 型 和 集中 管理 型 两 
种 可 以 选择 


第 7 章 网 络 硬件 设备 的 选 
购 要 后 
本 章 将 介绍 用 户 在 购买 、 制 定 需求 、 选 定 网 络 设 备 

时 ， 考 量 设备 性 能 的 方法 。 
另外 ， 本 章 还 将 介绍 产品 性 能 说 明 书 的 阅读 方法 、 产 


和 从 性 和 E 和 价格 两 方面 选择 产品 的 方法 以 
产品 售后 文 持 等 内 容 。 





07.01 选择 产品 的 类 别 

选择 产品 类 别 (参考 01.04.02 节 ) 时 需要 考虑 以 下 因素 : 
是 否 需要 一 台 主 要 进行 路 由 选择 的 路 由 器 ， 是 否 需要 核心 
交换 机 ， 是 否 需 要 负责 安全 控制 的 防火 墙 ， 以 及 上 述 设备 
在 网 络 中 将 要 如 何 配置 。 


产品 类 别 
。 路 由 器 
。 工 2 交换 机 
。 工 3 交换 机 
。 防火 墙 
。 无 线 LAN 接 入 点 
。 负载 均衡 器 (负载 均衡 装置 ) 
。 带宽 控制 装置 
。 代理 








互联 网 ”″ 


图 7-1 普通 校园 网 络 的 组 成 


在 新 建 LAN 时 ， 根 据 图 7-1 中 组 成 普通 校园 网 络 的 产品 
类 别 去 选择 对 应 的 产品 即 可 。 


当 现 存 网 络 中 需要 替换 某 些 网 络 硬件 时 ， 大 致 上 也 会 选择 
相同 类 别 的 产品 。 不 过 如 果 性 能 允许 ， 使 用 L3 交换 机 或 
者 防火 墙 来 答 换 路 由 器 也 是 可 以 的 。 另 外 ， 使 用 L3 交换 
机 蕉 换 L2 交换 机 也 不 会 市 来 什么 问题 。 


在 涉及 安全 设备 时 ， 由 于 某 些 防火 墙 产 品 搭载 了 基于 内 容 
的 安全 控制 功能 ， 因 此 可 以 考虑 统一 使 用 防火 墙 来 取代 独 
立 的 防 病毒 设备 、URL 过 滤 设 备 、IDS/IPS 设备 等 ， 从 而 
达到 降低 成 本 的 目的 。 








07.02 ”基于 功能 需求 汇总 备 选 设 备 型 号 

选 定 了 产品 类 别 后 ， 就 要 根据 所 需 的 功能 需求 ， 在 该 类 别 

内 检索 出 符合 要 求 的 备 选 产 品 型 号 ， 一 般 需 要 考虑 下 面 这 

些 要 点 来 进行 这 一 步骤 。 

网 络 接口 与 网 络 接口 速率 

。WAN 侧 和 LAN 侧 物理 网 络 接口 的 数目 是 否 符合 需 
求 。 像 RJ-45 的 10/100/1000BASE-T 或 SFP 的 
1000BASE-SX 这 类 ， 网 络 接口 形状 和 物理 层 协议 是 


从 久生 人 EY 
否 符 合 要 求 。 


。 当 使 用 VLAN 或 虚拟 路 由 融 时 ， 需 要 子 网 络 接口 
(逻辑 网 络 接 口 ) 的 数量 是 否 符 合 需 求 。 


。 当 需 要 使 用 IEEE 802.1ad 等 汇聚 接口 时 ， 汇 聚 后 能 否 
保障 足够 的 网 络 带 宽 。 


性 能 

。 天 吐 率 〈 传 输 速 率 ) 是 否 足 够 。 

。 使 用 ASIC 或 FPGA 等 硬件 处 理 的 功能 范围 和 使 用 
CPU 等 软件 处 理 的 功能 范围 是 多 少 ， 根 据 这 些 信 息 处 
理 哪 些 通 信 流 量 能 够 得 到 高 性 能 ， 处 理 哪些 通信 流量 
很 难得 到 高 性 能 。 

。 在 进行 内 容 扫 描 时 ， 能 够 被 扫描 多 大 容量 的 文件 。 


。 如 果 想 要 同时 运行 多 个 功能 ， 设 备 的 CPU 使 用 率 以 
及 内 存 占用 率 是 否 有 和 僵 余 。 


软件 的 功能 
。 文 持 各 种 协议 的 情况 ， 拥 有 哪些 独立 的 功能 。 











。 网 络 功能 。 

。 管理 功能 。 

。 报告 功能 。 
迁移 的 便捷 性 

。 得 换 设备 时 ， 使 用 和 现 有 设备 相同 厂商 并 运行 相同 操 

作 系 统 的 设备 更 容易 迁移 。 

售后 文 持 

产品 是 能 够 现场 维护 还 是 需要 寄 回 原矿 。 
。 文 持 受 理 的 时 间 。 














07.03 网络 硬件 的 采购 流程 


在 采购 包括 网 络 硬件 设备 在 内 的 信息 系统 产品 时 ， 灵 活 使 
用 RFI 以 及 RFP 将 大 有 神 益 。 


07.03.01 RFI 与 RFP 





RFI (Request for Information， 信 息 提 供 请 求 书 ) 是 指 企 
业 或 机 构 在 进行 产品 采购 或 业务 委托 时 为 了 明确 需求 ， 从 
外 部 业务 供应 商 获 取信 息 的 做 法 ， 也 可 以 指 记载 了 这 些 信 
恩 的 文档 资料 。RFI 提供 了 编写 RFP 〈Reqduests for 

Proposal， 征 求 建议 书 ) 的 基础 信息 。 例 如 ， 某 用 户 企业 
在 采购 最 新 的 网 络 硬 件 时 ， 用 户 企业 的 负责 人 仅 根 据 产 品 
目录 、 宣 讲 会 、 互 联网 资料 等 普通 的 公开 信息 往往 很 难 做 
出 选择 。 这 时 他 就 会 联系 销售 公司 或 者 系统 集成 / 商 等 潜 
在 采购 对 象 ， 请 求 他 们 提供 选 定 产 品 时 需要 的 信息 。 


RFI 是 在 交涉 具体 的 提案 、 报 价 之 前 进行 的 。 当 收 到 多 个 
供应 商 提供 的 RFI 时 ， 采 购 方 的 用 户 企业 会 向 候补 供应 商 
提供 RFP。RFP 中 记载 了 具体 的 需求 信息 ， 供 应 商 将 根据 
RFP 编写 详细 的 方案 建议 书 并 递交 给 用 户 企 业 。 用 户 企业 
对 该 方案 建议 书 进行 探讨 研究 后 ， 最 终 决 定 选择 哪个 供应 
商 的 产品 (图 7-2) 。 











提交 方案 
建议 书 


策划 、 
kc# YY = 编写 RFP、 评价 建议 方案 、 
上 预算 过 程 选择 IT 供应 商 | 。 





图 7-2 REFI 实施 的 流程 


表 7-1 展示 了 了 协调 委员 会 
(http://www.itc.or.jp/index.html ) 制作 的 RFP 样 书 (并 非 
所 有 RFP 都 要 按照 此 样 书 的 项 目 和 内 容 编 写 ) 。 


表 7-1 REFP 中 的 项 目 范 例 


系统 架设 的 背景 、 系 统 架 le 构 的 日 的 和 方针 、 想 解 决 的 问题 、 目 
标 预 期 的 效果 、 同 现 有 系统 的 关联 、 公 司 和 组 织 的 架构 、 新 系 
统 的 用 户 、 预 算 



































案 建议 书 的 操作 手续 和 日 程 表 、 方 案 建议 书 的 接口 人 、 方 案 
的 相关 资料 、 参与 的 资格 条 件 、 选 定 方案 书 的 方法 





淤 忆 沙 造 要 击 过 了 激 过 叫 

















提供 方案 的 公司 信息 、 方 案 的 范围 、 采 购 的 内 容 和 提供 服务 的 
详细 信息 、 系 统 的 组 成 、 产 品 的 质量 和 达到 性 能 的 前 提 条 
J 前 提 条 件 、 交 付 日 期 以 及 日 程 表 、 交 付 条 件 、 常 规 
报告 以 及 共同 评审 内 容 、 开 发 推进 的 机 制 、 开 发 管理 、 开 发 广 
法 、 开 发 语言 、 迁 移 方法 、 培 训 内 容 、 维 护 条 件 、 采 购 的 环保 
情况 、 费 用 预 估 、 其 他 



















































































3. 
太 
案 
奸 
议 
书 
包 
2 
事 
项 


开发 时 间 、 开 发 地 点 、 开 发 使 用 的 计算 机 硬件 和 材料 的 情况 
借用 物品 及 其 资料 





























多 | 系统 质量 保修 的 标准 、 安 全 性 














订单 形式 、 签 收 、 付 费 条 件 、 保 修 年 限 〈 无 缺陷 的 责任 担保 时 
间 | 间 ) 、 保 密 事项 、 知 识 产权 、 其 他 


























表单 、DFD (Data Flow Diagram， 数 据 流 图 ) 、 信 息 
模型 、 当 


前 的 文档 卷 、 当 前 的 文档 布局 








表 7-2 网 络 产品 采购 的 RFP 范例 

e 采购 的 背景 和 目的 

e 规格 与 编写 投标 规格 说 明 书 的 注意 事项 
e 系统 需求 规格 


令 系统 需求 条 件 (共同 规格 、 通 信 协 议 、 网 络 
组 成 、 系 统 组 成 ) 


令 采购 产品 需要 达到 的 技术 条 件 
e 实施 需求 规格 

人 网 络 设计 

依 网 络 架 构 
e 网 络 便 件 的 配置 


e 交付 条 件 〈 交 付 期 限 、 交 付 场 地 ) 
e 维护 





表 7-2 展示 了 网 络 产品 采购 相关 的 RFP 内 容 范 例 。 在 “和 采 
购 产 品 需 要 达到 的 技术 条 件 ” 中 记载 了 采购 网 络 设备 应 该 
具备 的 功能 、 性 能 等 内 容 ， 有 时 也 指定 了 产品 的 类 型 编 
写 。 更 加 详细 的 规格 需求 说 明 书 范例 如 表 7-3 所 示 。 





表 7-3 网 络 设备 的 规格 需求 说 明 书 范例 1 


1VCCI 是 日 本 的 电磁 兼容 认证 标志 ， 由 日 本 电磁 干扰 控制 委员 会 (Voluntary 
Control Council for Interference by Information Technology Equipment) 管理 。 


译 者 注 







































































e 符合 电气 产品 安全 法 、 电 气 产品 安全 实施 法 、 电 气 产品 安全 
实施 法 细则 和 满足 制定 电气 产品 技术 标准 的 各 部 委 相 关 规 定 
e 保证 产品 不 会 因 突 发 电流 冲击 对 其 他 网 络 产品 带 来 影响 



















































































e 需要 达到 电磁 波 妨碍 自主 控制 规定 VCCI Class A 级 ? 的 标准 











e 周 围 温度 在 10C~35C 之 间 时 设备 不 会 发 生 异 常 行为 
。 湿度 在 20%~80% 范 围 内 时 设备 不 会 发 生 异 常 行为 
® 同 带电 物品 接触 时 不 会 用 放电 现象 导致 设备 发 生 异 常 行为 









































e 产品 构造 便于 维护 检查 以 及 操作 
le ed 
e 可 以 安装 在 19 英 寸 通用 机 织 




















e MTBEF 3 在 50000 小 时 以 上 


六 头 形 坡 习 











e 电源 电压 为 AC 单 相 100~110V 或 200~220V 之 间 (交流 电 频 率 
为 50Hz 或 60Hz) 范围 内 时 设备 不 会 发 生 异 常 行为 
e 电源 插座 能 够 配备 平行 2P 接 地 线 


凡人 

















涩 


件 |e 消耗 电能 《标准 配置 下 ) 在 350W 以 下 


e 机 框 配 有 4 个 端口 以 上 的 10BASE-T/1000BASE-TX 自 动 识别 
网 络 接 口 
eVPN 性 能 在 500Mbits 以 上 








e 配 有 主 备 方式 (Active/Standby) 或 双 活 方式 
(CActive/Active) 的 宛 余 结构 

e 配 有 VLAN 功 能 

e 支 持 YLAN 的 AES 加 密 





e 维护 形式 采用 现场 维护 《厂商 出 差 修理 ) 
e 维护 受理 时 间 是 除 休息 日 以 外 的 9:00 到 17:30。 休 息 日 是 指 周 
六 、 周 日 、 节 假日 (国家 的 法 定 节 假日 〉 以 及 年 末年 初 (12 月 
29 日 至 来 年 1 月 1 日 )4。 另 外， 产品 咨询 接待 时 间 也 如 上 所 

修 
。 在 全 国 各 个 都 道 府 县 ? 均 设 有 维护 机 构 ， 支 持 当地 的 维 







































































求 
e 有 2 名 以 上 拥有 至 少 3 年 经 验 的 工程 师 参与 文 持 工 作 
e 在 产品 售 出 的 5 年 内 免费 提供 维护 零 部 件 


























e 维护 受理 时 间 同 硬件 维护 受理 时 间 相 同 。 维 护 方式 包括 电 
话 、FAX、 电 子 邮 件 等 ， 对 软件 相关 的 问题 与 咨询 进行 全 面 的 


支持 

e 当 被 要 求 拿 出 紧急 方案 来 应 对 操作 系统 的 bug 时 ， 能 够 迅速 
提供 方案 。 应 急 方案 的 形式 包括 (1) 提供 软件 补丁 、〈2) 提 
示 回 避 软 件 bug 引发 的 异常 操作 的 措施 







































































e 符合 “合理 使 用 能 源 相关 法 律 ( 节 省 能 源 法 规 ) ”的 产品 也 同 
md 家 电 、OA 硬件 相关 判定 标准 《节省 能 源 标 

准 ) 
e 不 含有 附件 中 说 明 的 规定 以 外 的 违禁 物质 。 如 果 经 调查 发 现 
含有 违禁 物质 ， 需 要 提供 相关 废弃 方法 、 能 够 进行 瞩 弃 处 理 的 
从 业 公 司 信息 等 ， 建 并 携手 促进 环境 保护 的 保障 制度 



























































“VCCI 是 日 本 的 电磁 兼容 认证 标志 ， 由 日 本 电磁 干扰 控制 委员 会 (Voluntary 
Control Council for Interference by Information Technology Equipment) 管理 。 


译 者 注 















































3 Mean Time Between Failures， 平 均 故 障 间隔 时 间 。 一 一 译 者 注 








4 这 里 的 节假日 指 的 是 日 本 的 情况 。 一 一 译 者 注 














3 日 本 的 行政 单位 ， 相 当 于 国内 的 省 市 、 直 辖 市 、 自 治 区 等 。 译 者 注 











功能 证 明 


为 了 保障 提供 的 产品 能 够 真正 满足 用 户 企 业 要 求 的 规格 与 
功能 ， 在 根据 RFP 信息 提交 的 方案 建议 书 中 还 可 以 附加 

产品 目录 、 操 作 手 册 等 产品 相关 的 公开 文档 给 用 户 企业 。 

如 果 无 法 提供 这 些 文档 ， 生 产 厂 商 或 销售 公司 也 可 以 编写 
并 提交 产品 的 功能 证 明 书 这 一 类 文件 资料 给 用 户 企 业 。 





07.03.02 RFQ 


用 户 企 业 通 过 RFI 以 及 RFP 接受 了 供应 丙 提 供 的 系统 方 
案 建 议 书 后 ， 如 果 需 要 进行 涉及 预算 费用 的 报价 步骤 ， 则 
可 以 要 求 供应 丙 提供 详细 的 RFQ 〈 Request For 
Quotations， 报 价 请 求 说 明 书 ) 文档 。 


07.04 根据 性 能 选择 产品 的 型 号 


07.04.01 收集 同 网 络 延 迟 相关 的 信息 


路 由 器 之 类 的 网 络 人 硬件 一 般 都 会 有 转发 分 组 的 操作 ， 分 组 
离开 发 送 地 回 地 理 位 置 分 离 的 目的 地 传输 的 过 程 中 ， 总 会 
有 延迟 (delay) 产生 。 

在 网 络 中 传输 声音 以 及 影像 等 实时 通信 流量 时 ， 需 要 收集 
各 个 路 由 器 之 间 同 延迟 有 关 的 参数 信息 ， 必须 将 减少 端 到 
(end to end) 的 网 络 延 迟 作为 整个 网 络 设计 的 重要 目 
示 。 


ITU-T 推荐 的 G.114 定义 了 从 发 送 源 至 发 送 目的 地 单 向 发 
生 的 网 络 延 迟 信息 ， 并 将 延迟 分 成 了 3 个 类 别 ， 上 有 具体 如 表 
7-4 所 示 。 


表 7-4 延迟 的 定义 〈 单 癌 延 迟 ) 


雹 0 各 和 以 | 几乎 所 有 的 用 户 应 用 程序 者 能 使 用 


党 ee 以 及 传输 质量 要 求 不 高 的 用 户 应 用 程序 



























































延迟 的 分 类 如 表 7-5 所 示 。 
表 7-5 延迟 的 种 类 


延迟 的 种 类 说 明 


端 到 端 延迟 | 分 组 从 发 送 源 转发 后 ， 到 达 目 的 地 所 需要 的 时 间 。 分 组 在 路 


aend | 途中 经 过 的 网 络 硬件 数量 越 多 该 值 就 越 大 





从 分 组 进入 设备 流入 接口 后 ， 到 进入 流出 接口 的 队列 之 间 所 
需要 的 时 间 ， 一 般 只 有 几 微 秒 左 右 
分 组 交换 机 或 路 由 器 


处 理 延 迟 
(processing 
delay) 





流入 接口 ”一 一 一 一 一 一 一 一 流出 接口 


处 理 延迟 
从 进入 路 由 器 或 交换 机 的 流入 接口 到 进入 流出 接口 队列 之 间 的 时 间 


分 组 化 延迟 
(packetization 
delay) 





数据 在 进行 编码 、 压 缩 ， 填 入 有 效 载 荷 等 操作 需要 的 时 间 ， 
一 般 在 几 十 毫秒 左右 





分 组 在 流出 接口 的 队列 中 停留 的 时 间 。 进 行 QoS 控制 时 ， 优 
先 级 越 低 的 分 组 在 队列 中 停留 的 时 间 越 长 即 延 迟 越 大 ， 一 般 
在 几 毫 秒 至 10 毫 秒 左右 





流出 接口 





队列 延迟 
(queuing 流入 接口 


delay) 
队列 延迟 
分 组 进入 后 在 队列 中 停留 的 时 间 


QoS 优 先 级 控制 = 队列 中 的 延迟 控制 


分 组 在 接口 进行 发 送 时 ， 进 行 电气 、 光 、 电 磁 波 等 物理 信号 
转换 时 需要 花费 的 时 间 ， 具 体 数 值 可 以 通过 “分 组 尺寸 :+ 带 
宽 ” 的 公式 计算 得 到 。 速 率 越 高 的 网 络 接口 ， 串 行 化 延迟 时 
间 就 越 低 。64 字 节 的 分 组 使 用 64kbit/s 带 宽 进 行 传输 时 ， 串 行 
化 过 程 所 需 时 间 为 8 毫秒 



































串 行 化 延迟 
(serialization 
delay) 


流出 接口 





流入 接口 


串 行 化 延迟 
分 组 进行 物理 信号 变换 所 花费 的 时 间 
分 组 尺寸 /带宽 


物理 信号 通过 线 缆 或 无 线 电波 等 传输 媒介 到 达 下 一 个 设备 所 
花费 的 时 间 ， 依 赖 于 介质 的 传输 速度 。 光 纤 一 般 1km 的 距离 
需要 6 微 秒 左右 的 时 间 


传播 延迟 = LiL 
(propagation 
delay) 

Sy 


传输 延迟 
物理 信号 传输 所 花费 的 时 间 约 6 hs/km 

















网 络 延迟 途径 WAN 以 及 互联 网 进行 通信 时 ， 分 组 通过 这 些 网 络 需 要 
(network 的 时 间 。 根 据 电气 通信 管理 办 法 ， 用 于 IP 电 话 的 网 络 一 般 平 
delay) 均 延 迟 时 间 需 在 70 毫 秒 以 下 








去 抖动 延迟 
(de-jitter 使 用 缓存 去 除 抖动 需要 的 时 间 ， 一 般 在 几 十 毫秒 之 间 
delay ) 





时 延 


网 络 和 硬件 从 接收 数据 后 到 再 次 发 送 数据 之 间 所 花费 的 延迟 
时 间 称 为 时 延 (latency〉。 时 延 越 小 说 明 设 备 蜗 速 处 理 分 
组 的 能 力 束 越 强 。 时 延 大 至 上 相当 于 “处 理 延 人 运 + 队列 延 
迟 + 串 行 化 延迟 ”的 时 间 。 


“吞吐 率 测 试 的 结构 ”( 参 考 07.04.02 节 的 图 7-3) 中 ， 从 
测试 仪器 输出 的 分 组 经 过 路 由 器 (DUTS ) 后 再 度 返 回 测 
试 仪器 所 花费 的 时 间 ， 也 被 测试 仪器 定义 为 时 延 。 最 新 的 
网 络 设备 产品 该 数值 一 般 在 几 微 秒 左右 。 


| 6 Device Under Test， 被 测 仪 器 。 一 一 译 者 注 








可 以 收发 的 最 大 数据 帧 数 能 够 在 几 微 秒 的 处 理 延 迟 时 间 内 
全 部 转发 出 去 ， 该 项 特性 指标 称 为 实现 线 速率 或 对 应 线 

速 ， 体 现 了 物理 线路 传输 数据 能 够 达到 的 最 高 速度 。 具 体 
以 快速 以 太 网 为 例 ， 快 速 以 太 网 线 速 为 在 1 秒 内 能 够 转发 
148810 个 大 小 为 64 字 节 的 数据 帧 〈 参 考 07.04.03 小 节 中 
的 “交换 能 力 ”) 。 


抖动 


以 一 定时 间 间 隔 进 行 分 组 发 送 时 ， 该 时 间 间 隔 在 实际 传输 
途中 变 长 或 变 短 的 现象 称 为 jitter 或 拌 动 。 例 如 ， 从 发 送 
源 每 隔 5 片 秒 发 送 分 组 ， 接 收 方 接收 到 分 组 的 实际 时 间 间 
隔 却 是 4、3、6、5、7 毫秒 这 样 不 停 变化 的 结果 。VoIP 
以 及 流 媒 体 应 用 程序 能 够 通过 反 抖 动 缓存 (de-jitter 
buffer) 来 吸收 部 分 抖动 ， 但 如 果 抖 动 过 大 就 会 导致 声 
音 、 画 面 突然 中 断 的 后 果 。 在 举行 实时 双方 向 流 媒体 视频 
会 议 时 ， 一 般 推荐 延迟 在 150 毫秒 以 内 ， 抖 动 在 35 毫秒 
以 内 的 网 络 环境 。 与 之 相 比 ， 进 行 单 向 视频 流 媒体 由 于 应 
用 程序 接收 缓存 能 够 处 理 部 分 延迟 和 抖动 ， 因 此 能 够 允许 
双向 10 倍 以 上 的 网 络 延 迟 时 间 。 


根据 电气 通信 相关 法 律 法 规 ，IP 电话 网 络 产生 的 抖动 
(ITU-T Y.154 建议 书 中 提 及 的 分 组 传输 平均 延迟 时 间 中 
的 抖动 值 ) 必须 在 20 训 秒 以 下 。 


分 组 丢失 


网 络 上 传输 的 分 组 没有 如 期 达到 目的 地 的 现象 称 为 分 组 丢 
失 ， 也 可 称 为 分 组 损失 (packet loss) 或 分 组 丢弃 (packet 
drop) 。 分 组 丢失 通过 分 组 丢弃 率 的 百分比 来 表示 。 根 据 
0.1% 以 下 。 


























往返 时 间 


发 送 源 发 送 的 分 组 到 达 发 送 目 的 地 后 ， 目 的 地 生成 应 答 分 
组 返 送 给 发 送 源 ， 直 到 发 送 源 接收 到 应 答 分 组 的 这 个 过 程 
需要 的 时 间 称 为 往返 时 间 (RTT，Round Trip Time) 。 往 


返 时 间 可 以 使 用 通过 ping 命令 发 送 ICMP Echo 消息 ， 再 
收 到 ICMP Echo Reply 消息 的 方式 来 检测 〈 和 单位 为 旦 
秒 ) 。 


表 7-6 根据 通信 距离 不 同 需 要 往返 时 间 的 差异 

















LAN 内 ( 几 百 米 左右 ) 守 
广 域 以 太 网 VPN (日 本 国内 ) 5~20 毫 秒 左 右 


东京 至 冲绳 的 WAN 50~100 上 毫秒 左右 


东京 至 美国 的 互联 网 通信 200~300 蛋 








通过 移动 电话 网 络 接 入 互联 网 100~300 坚 秒 

















如 果 互 联网 发 生 延 迟 过 长 的 问题 ， 则 需要 通过 QoS 装置 
或 路 由 器 的 QoS 功能 对 分 组 转发 进行 优先 级 控制 ， 保 障 
对 实时 性 要 求 高 的 应 用 程序 通信 量 优先 转发 ， 尽 可 能 减少 
队列 延迟 。 另 外 ，Riverbed Technology 公司 销售 的 WAN 
相 减少 应 用 程序 的 延迟 
时 间 。 





07.04.02 网络 设备 产品 性 能 的 测量 方法 


网 络 设备 产品 的 性 能 可 以 通过 通信 流量 测试 负载 生成 髓 

(traffic generator) 进行 统计 测量 。 这 类 产品 中 比较 有 名 
的 有 Spirent 公司 “的 SmartBits、IXIA 公司 的 IxXNetwork 
以 及 安立 公司 (Anritsu) 的 MD1230B 等 (参考 表 7- 
8) 。 





7 该 公司 于 2012 年 8 月 被 IXIA 公 司 收购 。 一 一 译 者 注 





产品 目录 中 会 标 有 bit/s 以 及 pps 等 指标 单位 数值 ， 有 时 还 
会 说 明 厂 商 是 在 什么 样 的 测试 环境 下 进行 计算 并 得 到 该 数 
值 的 。 当 在 产品 目录 中 标明 了 bit/s 数值 时 ， 需 要 特别 注 
意 该 数值 是 使 用 多 大 字 节 的 卫 分 组 计算 得 出 的 。 











单方 向 吞吐 率 的 测试 


输入 输出 
路 由 器 
(DUT ) 

发 送 接收 
二 一 4 一 
测试 仪器 
候 Rx 





双向 吞吐 率 的 测试 
输入 输出 
一 一 一 











4 一 
接收 发 送 


图 7-3 ”大 吐 率 测 试 的 结构 


测试 结构 如 图 7-3 所 示 。 测 试 对 象 装 置 称 为 DUT (Device 
Under Test) 。 测 试 仪 器 在 发 送 端口 〈Tx，Transmit 发 
送 ) 逐步 增加 发 送 至 路 由 器 的 分 组 数量 ， 然 后 在 接收 端口 
(Rx，Receive 接收 ) 测定 DUT 返回 的 分 组 数量 。 当 到 达 
DUT 的 性 能 极限 时 ，DUT 上 就 会 发 生 分 组 丢失 的 现象 ， 
相对 于 测试 仪器 发 送 的 分 组 数量 接收 到 的 分 组 数 就 会 减 


少 。 





描述 DUT 不 发 生 分 组 丢失 而 持续 活跃 的 传输 能 力 指标 称 
为 NDR (non-drop rate) ， 在 产品 目录 中 一 般 记 为 “最 大 
传输 能 力 ? 或 “最 大 吞吐 率 ”〈 图 7-4) 。 





理想 特性 


测试 结果 
输 
出 


输入 
图 7-4 NDR (non-drop rate) 


RFC2544 中 定义 了 网 络 硬件 吞吐 率 的 测试 方法 ， 并 推荐 了 
各 个 数据 链 路 层 协议 测试 时 使 用 的 数据 帧 尺寸 。 例 如 在 以 
太 网 环境 中 ， 推 荐 使 用 64、128、256、512、1024、 
1280、1518 字 节 大 小 的 数据 帧 进行 测试 。 


测试 路 由 器 时 ， 测 试 仪器 经 和 常 使 用 能 够 模拟 互联 网 实际 通 
信 流 量 、 被 称 为 IMIX (Internet Mix) 的 各 类 尺寸 分 组 组 
合 来 进行 测试 。 表 7-7 列举 了 IMIX 的 范例 。 





表 7-7 IMIX 的 范例 


57% 的 64 字 节 数据 帧 
7% 的 570 字 节 数据 帧 


58.33% 的 64 字 节 数据 帧 
33.33% 的 570 字 节 数据 帧 16% 的 594 字 节 数据 帧 
8.33% 的 1518 字 节 数据 帧 20% 的 1518 字 节 数据 帧 





字 节 数据 帧 


如 果 路 由 器 产品 在 其 产品 的 规格 说 明 书 中 告知 了 使 用 
IMIX 测 出 的 NDR 值 ， 那 么 该 路 由 器 在 实际 网 络 中 运行 的 
性 能 一 般 也 会 与 该 值 保持 相近 的 高 度 。 


使 用 通信 流量 负载 测试 装置 进行 测试 


用 来 测试 网 络 硬件 性 能 的 装置 一 般 可 以 称 为 通信 流量 测试 
负载 生成 器 (traffic generator) 、 分 组 负载 测试 器 (packet 
generator) 或 者 网 络 模拟 器 (network emulator) 。 


在 这 些 产品 中 ，Spirent 公司 的 Avalanche/Reflector、 
Smartbit、IXIA 公司 的 IxLoad/IxNetwork、Empirix 公司 的 
PacketSphere、BreakingPoint 公司 8 的 FireStorm 以 及 
Anritsu 公司 的 MD1230 等 较为 著名 ( 表 7-8) 。 


| 8 该 公司 于 2012 年 8 月 被 IXIA 公 司 收购 。_ 译 者 注 








1 台 通 信 流 量 测试 负载 生成 器 通过 生成 L2 至 L7 的 各 种 分 
组 ， 能 够 模拟 百 万 台 客 户 端 连接 的 网 络 环境 。 通 过 该 测试 
仪 露 的 测试 能 够 明确 网 络 硬 件 的 最 大 吞吐 率 、 最 大 在 线 会 
话 数 等 各 项 性 能 指标 数据 。 


表 7-8 主要 的 通信 流量 测试 负载 生成 费 产 品 








产品 名 称 《〈 制 造 
商 ) 


Avalanche 
C100GT 
(Spirent) 





IxLoad (IXIA) 


MD1230B 
(Anritsu) 


IXN2X 
(IXIA) 





FireStorm CITM 





(BreakingPoint) 








规格 说 明 书 中 的 吞吐 率 与 实际 的 吞吐 率 


假设 某 位 I 开 负 贡 人 遇 到 了 这 样 的 需求 :“ 由 于 网 关 处 设置 
的 路 由 器 停止 了 工作 ， 因 此 需要 使 用 当前 新 产品 来 蔡 换 ， 
当前 公司 的 网 络 通 信 流 量 约 为 500Mbits， 因 此 希望 采购 
一 台 吞 吐 率 同样 为 500Mbits 的 路 由 器 。” 


这 时 ， 这 位 IT 负责 人 该 如 何 去 选 择 吞 吐 率 为 500Mbits 的 
路 由 器 呢 ? 


从 互联 网 上 获取 的 通信 设备 目录 或 性 能 数据 清单 中 ， 都 会 
通过 “最 大 吞吐 率 (Mbit/s) ”的 指标 来 表示 产品 的 最 大 通 
信 速 率 ， 那 是 否 选择 了 该 值 为 500Mbits 的 产品 就 足够 了 
呢 ? 


所 谓 的 最 大 吞吐 率 ， 一 般 是 指 连 续 处 理 长 度 为 最 大 长 度 
1518 字 节 的 以 太 网 数据 帧 时 的 吞吐 率 。 在 1518 字 节 中 去 
掉 18 个 字 节 的 帧 首部 ， 剩 下 的 1500 字 市 为 IP 分组。 随 
后 ， 再 次 去 掉 20 个 字 节 的 IP 首部 ， 剩 下 的 1480 字 节 为 
IP 数据 有 效 载荷 ， 最 终 处 理 的 便 是 这 1480 字 节 。 


路 由 器 处 理 一 般 不 以 字 节 为 单位 ， 而 是 以 分 组 (数据 帧 ) 
为 单位 进行 转发 处 理 。 因 此 ， 路 由 器 1 秒 内 能 够 处 理 多 少 
个 分 组 的 指标 pps 的 最 大 值 加 上 1518 个 字 节 数 所 得 到 的 
数值 就 表示 了 路 由 器 的 最 大 吞吐 率 。 


对 于 搭载 安全 功能 等 进行 传输 层 以 上 数据 解析 的 通信 设备 
而 言 ， 其 产品 的 性 能 会 根据 IP 数 据 有 效 载 荷 内 容 的 不 同 
而 发 生变 化 。 这 时 ， 同 使 用 TCP 相 比 ， 使 用 UDP 这 类 首 




















部 简单 的 分 组 进行 测试 能 够 得 到 更 好 的 吞 叶 率 数值 。 
07.04.03 ”交换 机 性 能 的 考量 方法 


由 于 工 2 交换 机 以 及 L3 交换 机 的 数据 帧 传输 一 般 通 过 
ASIC 来 完成 ， 因 此 产品 目录 中 记载 的 交换 容量 与 交换 能 
力 可 以 认为 是 该 设备 实际 的 性 能 指标 。 


需要 注意 的 是 ， 由 于 现在 的 交换 机 一 般 都 支持 全 双 工 通 
信 ， 因 此 在 使 用 CSMA/CD 半 双 工 通信 时 ， 会 发 生 冲 突 导 
致 性 能 同 全 双 工 相 比 会 有 一 定 的 下 降 。 





交换 容量 
交换 容量 也 称 为 背 板 〈backplane) 容量 ， 是 交换 机 内 部 数 


而 传 条 的 带宽 安 是 。 详细 内 容 可 参考 本 书 第 二 章 


当 高 于 交换 容量 的 通信 流量 到 达 交 换 机 时 ， 区 换 机 就 会 由 
于 缓存 不 足 或 内 部 带宽 《交换 总 线 珊 宽 ) 不 够 而 无 法 处 
人 
升 等 现象 。 











交换 能 力 
除了 用 bivs 表示 的 交换 机 容量 以 外 ， 单 位 时 间 内 能 够 处 














机 的 交换 能 力 。 该 项 指标 也 可 称 为 最 大 分 组 转发 能 力 ， 由 
于 在 工 2 转发 的 数据 单位 为 数据 帧 ， 因 此 又 称 为 数据 帧 转 


发 能 力 


交换 机 通过 查看 以 太 网 数据 帧 首部 的 信息 ， 事先 确认 转发 
目的 地 的 MAC 地 址 ， 并 校 验 数 据 帧 尾部 是 否 有 异常 ， 最 
后 查阅 访问 控制 列表 是 否 预 配 信息 ， 如 果 有 预 配 信息 则 根 
据 该 信息 对 数据 帧 进行 过 滤 处 理 。 可 见 ， 随 着 数据 帧 数目 
的 增加 ， 交 换 机 需要 处 理 的 数据 量 也 会 随 之 增 大 ， 路 由 器 
也 同样 如 此 。 


所 以 ， 如 果 处 理 通信 流量 的 bits 相同 ， 数 据 帧 尺寸 越 小 

















处 理 的 工作 量 就 越 大 ， 系 统 负载 也 会 随 之 变 大 。 


以 太 网 数据 帧 最 小 的 数据 帧 尺寸 是 64 字 节 ， 算 上 先导 域 
和 SFD (Start Frame Delimiter， 帧 首 定 界 符 ) 的 8 字 节 ， 
数据 帧 之 间 的 IFEG (Inter-Frame Gap， 数 据 帧 间隔 ) 所 需 
的 12 字 节 ， 总 共 84 字 节 ， 也 就 是 说 交换 机 在 转发 1 个 数 
据 帧 时 需要 处 理 672 bit 的 数据 。 


对 于 10Mbit/s 的 以 太 网 而 言 ， 则 是 
10000000bits*672bit=14880pps。 如 果 交 换 机 拥有 
14880pps 以 上 的 交换 能 力 ， 就 意味 着 该 交换 机 可 以 实现 线 
速率 《理论 上 的 最 大 线路 速度 ， 也 称 为 线 速 ) 处 理 。 


快速 以 太 网 的 线 速 一 般 为 148800pps， 干 兆 以 太 网 的 线 速 
为 1488000pps〈1.488Mbitys) ， 万 兆 以 太 网 线 的 速 为 
1488000pps (14.88Mbit/s) 。 


交换 机 是 由 多 个 物理 网 络 接口 组 成 的 。 假 如 一 台 交 换 机 有 
24 个 10/100/1000BASE-T 的 端口 ， 那 么 能 够 拥有 
24x1.488Mbit/s=35.712Mpps 的 非 阻 塞 交 换 能 力 。 如 果 使 
用 交换 容量 小 于 该 值 的 交换 机 ， 就 会 发 生 阻 塞 现象 ， 导 致 
所 有 的 端口 无 法 达到 理论 的 最 大 线 速 。 


实际 在 交换 机 上 进行 传输 的 通信 和 多 为 TCP 或 UDP 的 应 用 
程序 数据 。 在 UDP 中 ， 对 实时 性 要 求 较 高 的 分 组 一 般 平 
均 长 度 需 在 100~300 字 节 之 间 才 能 进行 通信 。 而 在 TCP 
中 ， 由 于 需要 进行 窗口 尺寸 等 带宽 控制 ， 因 此 实际 的 通信 
速率 往往 达 不 到 理论 线 速水 平 。 

MAC 表 数 量 与 L3 表 尺 寸 

L2 交换 机 使 用 MAC 表 管理 MAC 地 址 ，L3 交换 机 除了 
使 用 MAC 表 来 管理 MAC 地 址 以 外 还 会 使 用 L3 表 来 管理 
IP 地 址 。 


如 果 表 项 超出 了 管理 表 最 多 能 容纳 的 数量 ， 那 么 设备 将 无 
法 进行 正 第 的 传输 处 理 从 而 造成 分 组 丢弃 的 结果 。 

















在 使 用 通信 流量 生成 测试 仪 右 对 设备 性 能 进行 测试 时 ， 必 
须 将 所 施加 分 组 所 使 用 的 地 址 限定 在 设备 的 MAC 地址 表 
所 文 持 的 范围 内 进行 。 


蔡 换 或 新 增 网 络 人 硬件 时 的 选择 


里 然 大 多 数 机 构 的 内 部 网 络 中 都 会 有 存量 交换 机 ， 但 是 在 
进行 更 新 丛 换 时 ， 仍 需要 确认 存量 交换 机 性 能 方面 的 统计 
信息 以 及 现 有 用 户 的 数量 ， 还 要 确认 MAC 地 址 表 表 项 数 
量 ， 从 而 选择 最 大 交换 容量 、 交 换 能 力 和 MAC 地 址 数量 
都 满足 需求 的 交换 机 。 


除了 性 能 以 外 ， 还 需要 了 解 便 件 最 大 文 持 的 VLAN 数 
目 、 是 否 具 备 SNMP 等 管理 功能 ， 将 这 些 作 为 辅助 材 
料 ， 推 进 网 络 逻 辑 设计 阶段 的 工作 顺利 进行 。 


三 播 风 其 


广播 风暴 (broadcast storm) 是 指 多 个 交换 机 连接 成 回环 
时 ，MAC 数据 帧 不 停 来 回 传递 的 现象 〈 图 7-5) 。 这 种 现 
象 会 造成 网 络 带宽 、 交 换 机 资源 的 过 度 消 耗 ， 最 终 导 致 整 
个 网 络 的 瘫痪 。 


使 用 生成 树 功能 (参考 02.08.03 节 “ 生 成 树 功 能 >) 可 以 避 
免 该 问题 。 生 成 树 通过 NDP 端口 的 开 闭 来 解决 网 络 的 回 


环 问题 。 


另外 ， 在 遇 到 DoS 攻击 、 操 作 系 统 出 现 bug 或 者 NIC 出 
人 


这 时 ， 可 以 使 用 交换 机 中 的 广播 风暴 控制 〈storm- 
control) 功能 来 避免 该 现象 。 


广播 风暴 控制 功能 的 原理 是 在 端口 监视 流向 内 部 总 线 的 数 
据 帧 ， 如 果 数 据 帧 的 数量 超过 了 预先 设置 的 上 限 国 值 ， 就 
将 超出 该 立 值 的 部 分 丢弃 。 数 据 帧 闵 值 通过 pps 值 来 指 
定 ， 能 够 分 别 对 单 播 、 多 播 、 广 播 进行 定义 与 配置 。 








如 休 没 有 回环 状态 ， 广 播 数据 帧 只 会 转发 到 广播 域内 的 所 
有 终端 。 相 反 ， 如 宋 网 络 存在 回环 ， 广 播 数据 帧 将 会 永远 
在 回环 内 循环 转发 ， 导 致 数据 帧 数量 越 来 越 多 ， 最 终 整 个 
LAN 的 带宽 被 广播 数据 帧 消耗 殖 尽 。 









广播 数据 帧 C0 


转发 至 所 有 端口 


转发 至 所 有 端口 转发 至 所 有 端口 
图 7-5 发 生 广播 风暴 的 LAN 结构 
半 双 工 与 冲突 


如 本 书 第 二 章 所 述 ， 在 半 双 工 通 信 中 ， 在 工 根 线 缆 〈 传 输 
媒介 ) 上 运行 CSMA/CD 并 进行 载波 侦 听 时 ， 有 可 能 会 发 
生 冲 突 。 随 着 冲突 域 中 终端 数目 的 增多 ， 冲 突 发 生 的 概率 
也 就 越 大 ， 且 旦 指数 上 升 的 趋势 。 另 外 ， 在 进行 载波 侦 听 
时 传输 媒介 处 于 使 用 状态 ， 因 此 还 会 产生 随机 等 待 时 间 。 
由 于 等 待 、 冲 突 而 导致 的 数据 再 次 发 送 ， 会 降低 整个 系统 
的 通信 效率 。 即 使 传输 媒介 没有 处 于 使 用 状态 ， 也 需要 费 
时 进行 载波 侦 听 的 处 理 ， 从 而 导致 延迟 产生 。 


因此 ， 使 用 全 双 工 通信 方式 来 取代 半 双 工 通信 方式 比较 
好 。 





全 双 工 通信 中 不 再 使 用 CSMA/CD， 不 进行 载波 侦 听 操作 
也 不 发 生 冲 突 ， 而 且 发 送 和 接收 能 够 充分 利用 传输 媒介 的 
最 大 传输 速率 。 比 如 在 快速 以 太 网 中 ， 若 发 送 与 接收 的 速 
度 各 为 100Mbits， 则 共计 能 够 使 用 200Mbits 的 线路 带 

宽 。 而 在 半 双 工 通信 中 ， 发 送 和 接收 的 占用 带宽 总 和 只 有 
100Mbit/s。 





目 适 应 


如 果 设 置 了 交换 机 的 自 适 应 功能 ， 那 么 交换 机 的 网 络 接口 
会 根据 使 用 的 以 太 网 速度 以 及 双 工 通信 方式 ， 上 自动 选择 同 
对 方 区 换 机 交互 的 最 佳 通信 模式 组 合 。 如 果 由 于 交换 机 或 
交换 机 以 外 的 网 络 设备 实现 不 同 或 存在 bug 而 导致 自 适应 
功能 无 法 工作 ， 则 交换 机 端口 会 默认 目 动 进入 半 双 工 通 信 
模式 。 这 时 ， 束 需要 事先 关闭 自 适 应 功能 ， 通 过 手动 置 指 
定 交 换 机 器 口 在 全 双 工 模式 下 工作 来 避免 这 类 问题 。 


07.04.04 ”路 由 器 性 能 的 考量 方法 


路 由 器 性 能 一 般 用 单位 时 间 内 的 转发 能 力 来 表示 ， 也 可 使 
用 吞吐 率 〈throughput) 来 描述 。 


虽然 通信 速率 的 单位 biys《 比 特 每 秒 ) 常 被 用 来 描述 吞吐 
率 ， 但 在 路 由 器 进行 以 分 组 为 单位 的 处 理 时 ， 往 往 也 会 使 
用 pps《〈 分 组 每 秒 ) 来 描述 吞吐 率 这 一 性 能 情况 。 


pps 性 能 相同 的 路 由 器 ， 转 发 的 分 组 越 大 ， 该 路 由 器 产品 
的 bit/s 值 就 越 高 。 例 如 ， 处 理 能 力 为 100pps 的 路 由 器 在 
以 太 网 上 处 理 IP 分 组 ， 虽 然 处 理 64 字 节 〈512bit) 分 组 
时 ， 其 速率 只 能 为 51.2kbit/s， 但 在 处 理 1500 字 节 
《12000bit) 的 分 组 时 ， 其 速率 则 达到 1.2Mbit/s。 


07.04.05 ”防火 墙 性 能 的 考量 方法 
同时 在 线 会 话 数 

防火 墙 使 用 会 话 表 管理 通信 会 话 ， 并 以 会 话 为 单位 进行 通 
信 流 量 的 控制 。 会 话 表 能 够 记录 的 表 项 数目 表明 了 该 防火 
坦 所 能 处 理 的 同时 在 线 会 话 〈 也 称 为 同时 连接 会 话 ) 数 
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小 规模 的 加 面 型 防火 增设 备 一 般 能 够 文 持 几 万 个 会 话 ， 通 
信服 务 供应 商 使 用 的 防火 增设 备 则 能 够 同时 管理 数 百 万 个 


会 话 。 


会 话 生 存 时 间 调 整 


通过 安全 策略 的 UDP 分 组 或 TCP 的 SYN 分 组 到 达 防 火 
表 时 ， 防 火 墙 会 生成 对 应 的 会 话 信 息 。 如 果 在 此 后 的 一 定 
时 间 内 ， 该 会 话 没 有 通信 和 量 的 产生 ， 则 需 将 会 话 删 除 ， 该 
时 间 段 则 成 为 会 话 生 存 时 间 。 


会 话 信息 被 删除 后 ， 当 该 会 话 相 关 的 分 组 继续 到 达 防 火 墙 
时 ， 防 火 墙 需 要 重新 生成 会 话 信息 。 如 果 是 UDP 类 型 ， 

只 需 再 次 生成 会 话 信 息 即 可 ,但 如 果 是 TCP 类 型 ， 除了 
再 次 到 来 的 SYN 分 组 以 外 ， 其 余 的 分 组 都 将 被 丢弃 《可 
以 通过 更 改 配 置 改 变 丢 弃 分 组 的 行为 )。 如 果 SYN 以 外 
的 分 组 遭 到 了 防火 墙 拒 绝 ， 就 需要 客户 端的 应 用 程序 进入 
人 























会 话 生存 时 间 能 够 根据 TCP、UDP 以 及 其 他 卫 协议 的 不 
同 进 行 针对 性 的 设置 。 在 新 一 代 防 火 墙 系列 产品 中 ， 还 能 
够 以 应 用 程序 为 单位 进行 设置 。 一 般 将 TCP 的 会 话 生 存 
时 间 设 置 为 1 小 时 左右 ，UDP 以 及 其 他 IP 协议 的 会 话 生 
存 时 间 设 置 为 30 秒 左右 。 


如 果 没 有 设置 会 话 生存 时 间 《或 者 生存 时 间 过 长 ) ，TCP 
中 在 收 到 FIN 或 RST 之 前 ， 连 接 将 始终 保持 开放 ， 而 
UDP 中 会 话 不 会 结束 ， 会 话 信息 也 会 一 直 保 留 。 这 么 一 
来 就 会 使 得 那些 人 肆 巧 和 残留 会 话 信息 相 一 致 的 分 组 能 够 顺 
利通 过 防火 墙 ， 从 而 造成 潜在 的 安全 问题 。 

另外 ， 由 于 会 话 信 息 表 中 会 话 表 项 记录 的 数量 有 限 ， 如 果 
很 长 一 段 时 间 不 予以 清除 ， 将 会 使 表 项 数量 很 快 到 达 会 话 
表 能 够 容纳 的 上 限 值 。 


当 会 话 表 项 数量 达到 能 够 记录 的 上 限 值 后 ， 将 无 法 生成 新 
建 会 话 ， 从 而 造成 无 法 建立 新 会 话 进行 通信 的 后 果 。 


老化 时 间 调 整 


在 TCP 会 话 中 如 果 TIME WAIT 状态 的 时 间 持 续 很 长 ， 


























就 会 导致 即使 通信 结束 也 会 有 会 话 信 息 残 留 并 占用 会 话 信 
恩 表 的 空间 。 


有 些 防火 墙 产 品 会 提供 当 会 话 信息 表 使 用 率 即 将 超过 阔 值 
时 ， 提 前 删除 TIME_WAIT 状态 会 话 的 功能 。 


每 秒 会 话 值 


路 由 器 的 性 能 一 般 使 用 每 秒 能 够 传输 的 bit 数 bivs 和 每 秒 
能 够 转发 的 分 组 数 pps 这 两 个 单位 来 描述 。 


而 对 于 防火 墙 而 言 ， 还 必须 增加 每 秒 能 够 建立 的 会 话 数 
(new session per second) 这 一 参数 指标 。 以 基于 状态 检 
测 型 的 防火 墙 (stateful inspection〉 为 例 ， 该 指标 表示 在 1 
秒 内 能 够 完成 多 少 次 会 话 建立 。 其 中 ，1 个 完整 的 会 话 建 
并 过 程 包括 : 监控 TCP 连接 的 3 次 握手 ， 握 手 正 第 则 生 
成 会 话 信息 ， 将 会 话 信息 记录 至 会 话 表 等 一 系列 操作 。 


如 果 该 数值 不 满足 网 络 需求 ， 就 会 导致 旧 的 会 话 信息 不 能 
被 及 时 删除 ， 从 而 造成 网 络 中 的 新 会 话 信息 无 法 建立 的 情 
2 站 在 用 户 角度 来 看 ， 就 会 觉得 该 网 络 的 啊 应 速度 非常 
(Rs 


对 象 尺 寸 的 不 同 导致 性 能 的 差异 (L7 硬件 ) 


对 象 尺寸 中 的 “对 象 ” 一 般 是 指 文件 。 目 前 活跃 的 Web 站 
点 中 1 个 页 面 往 往 会 由 几 十 个 文件 对 象 组 成 。 例 如 ， 使 用 
HTTP 访问 门户 网 站 时 ， 会 在 客户 端 浏览 器 中 看 到 HTML 
文件 、JPEG 或 GIF 等 图 像 文件 以 及 Flash、JavaScript、 
ActiveX 等 各 种 不 同类 型 的 文件 。 另 外 ， 在 使 用 Web 电子 
邮件 、FTP 等 工具 在 进行 交互 时 ， 也 会 用 到 ZIP 文件 甚至 
文件 。 网 络 上 进行 交互 的 文件 大 小 一 般 称 为 对 象 的 尺 























虽然 防 病毒 检查 和 文件 检查 等 操作 称 为 基于 内 容 的 扫描 ， 

但 实际 上 在 防火 墙 、 代 理 服 务 嚣 、 安 全 相关 的 设备 中 往往 
是 以 文件 为 单位 进行 该 处 理 。1 秒 内 能 够 扫描 多 少 个 文件 
的 单位 称 为 处 理 对 象 每 秒 〈object per second) 或 处 理事 务 


每 秒 (transaction per second) 。 


也 就 是 说 ， 对 象 尺 寸 越 小 ， 网 络 硬件 在 单位 时 间 内 能 够 处 
理 的 、 基 于 内 容 扫 摘 的 数据 量 就 越 大 。 和 分 组 尺寸 越 小 、 
分 组 每 秒 (pps) 的 值 或 越 大 而 最 大 否 吐 率 (bit/s) 就 越 小 
一 样 ， 当 对 象 尺寸 最 小 时 ， 能 够 得 到 的 pps 值 就 最 大 。 


在 测量 各 个 不 同 对 象 尺 寸 的 吞吐 率 时 ， 常 使 用 4KB (于 字 
节 ) 、16KB、64KB、128KB、512KB、1024KB (1MB) 

大 小 的 对 象 来 进行 测量 

表 7-9 列 出 了 不 同 对 象 尺寸 所 对 应 的 处 理 对 象 每 秒 的 数值 
范例 。 网 络 硬件 在 进行 基于 内 容 扫 描 时 ， 如 果 平 均 对 象 尺 
寸 为 1MB， 那 么 设备 的 吞吐 率 为 740Mbit/s， 如 果 对 象 尺 

十 为 4KB， 则 吞吐 率 为 129Mbit/s。 


在 互联 网 上 进行 交互 的 对 象 平均 尺寸 在 64KB 左右 ， 移 动 
电话 所 使 用 的 对 象 内 容 尺 寸 会 更 小 。 

要 注意 的 是 ， 当 需要 安全 设备 在 进行 基于 内 容 的 扫描 
所 要 考虑 的 不 仅仅 是 设备 的 吞吐 率 ， 还 需 考 虑 处 理 对 
象 每 秒 的 数值 。 


表 7-9 对 象 尺寸 与 处 理 对 象 每 秒 的 对 应 关系 


对 象 尺寸 处 理 对 象 每 秒 协议 开销 所 占 比 例 
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注 1: 〈 对 象 尺寸 [B]x8[bitjx 处 理 对 象 每 秒 ) = 文件 实体 部 分 的 吞吐 率 
文件 实体 部 分 吞吐 率 x〈100 + 协议 开销 所 占 比例 [% ]) = 吞吐 率 
1MB=1024KB=1048576B 




















文件 实体 部 分 的 吞吐 率 还 包括 协议 开销 《〈 以 HITP 分 组 为 
例 ， 包 括 以 太 网 首部 、 卫 首部 、TCP 首部 、HTTP 首部 、 
以 太 网 尾部 的 总 和 ) 、 控 制 分 组 (TCP3 次 握手 、ACK 分 
组 等 ) 等 ， 这 些 都 会 成 为 设备 整体 吞吐 率 的 组 成 部 分 。 在 
文件 实体 部 分 的 吞吐 率 中 ， 对 象 尺 寸 越 小 协议 开销 以 及 控 
制 分 组 所 占 的 比例 就 越 大 。 


当 处 理 对 象 每 秒 的 数值 超过 网 络 硬 件 上 限 值 时 ， 就 会 导致 
设备 的 处 理 延 迟 加 大 。 如 果 继 续 保 持 该 状态 ， 设 备 就 会 发 
生 分 组 丢弃 现象 ， 从 而 导致 客户 端 无 法 传输 请 求 文件 的 后 
果 。 这 种 情况 在 HTTP 中 就 会 显示 Web 浏览 器 错误 ， 在 
FTP 中 则 会 告知 文件 传输 失败 。 

VPN 和 加 密 的 性 能 

防火 墙 或 安全 设备 中 都 会 文 持 站 到 站 的 IPsec-VPN、 远 程 
接 入 的 IPsec-VPN 或 SSL-VPN 集中 器 的 功能 。 另 外 ， 有 
些 产品 还 支持 用 户 通 信 的 SSL (CHTTPS) 解密 功能 。 

这 类 执行 加 密 或 解密 的 操作 ， 与 使 用 不 加 密 的 明文 通信 或 
执行 基于 内 容 的 扫描 相 比 ， 系 统 的 负载 也 会 相应 增加 ， 从 
而 导致 性 能 的 下 降 ( 表 7-10) 。 


表 7-10 VPN 吞吐 率 的 范例 《信息 来 自 产 品目 录 ) 


Juniper Networks Palo Alto Networks PA- 
SSG140 5020 














350Mbit/s 5Gbit/s 
VPN 否 吐 率 |100Mbits 2Gbit/s 





里 然 使 用 ASIC 这 类 硬件 必 瞩 来 完成 加 密 处 理 则 不 会 融 来 
性 能 下 降 的 问题 ， 但 是 几乎 所 有 的 设备 部 采用 了 基于 CPU 
的 软件 处 理 方式 ， 因 此 当 通 信 流 量 增 大 时 ， 人 性 能 还 是 会 有 
大 幅 的 下 降 。 


简 而 言 之 ， 加 密 处 理 仅仅 是 在 隧道 建立 时 进行 ， 还 是 全 程 
(包括 隧道 建立 后 的 用 户 会 话 区 互 过 程 ) 都 进行 ， 对 于 设 
备 的 性 能 而 言 有 着 截然 不 同 的 影 啊 。 


对 象 的 容量 


这 里 所 提 到 的 对 象 并 不 是 处 理 对 象 每 秒 中 的 对 象 ， 而 是 构 
成 安全 策略 的 要 素 对 象 。 例 如 ， 用 来 指定 地 址 信息 的 地 址 
对 象 、 指 定 端 口 信息 的 端口 对 象 等 。 根 据 设 备 种 类 的 不 

同 ， 这 些 对 象 可 配置 数量 的 上 限 也 有 上 所 不 同 。 另 外 ， 安 全 
打上 略 本 里 的 配置 数量 上 限 也 会 由 于 设备 的 种 类 不 同 而 不 

同 。 一 般 设 备 所 支持 设置 的 上 限 会 在 规格 说 明 书 中 标注 。 
如 采访 信息 未 曾 在 规格 说 明 书 中 提 及 ， 则 表明 该 上 限 值 将 
依赖 于 系统 剩余 内 存 的 大 小 。 


大 型 公司 在 因特网 网 关 处 设置 的 防火 墙 往 往 会 有 数 干 条 安 
全 琐 略 ， 如 果 对 这 样 规模 的 安全 策略 一 一 进行 判断 处 理 ， 
设备 的 负载 会 相当 大 ， 有 时 就 会 造成 性 能 下 降 的 现象 。 尤 
其 是 防火 墙 会 根据 设置 的 安全 策略 列表 从 上 而 下 顺序 处 
理 ， 如 果 到 达 的 分 组 多 数 命 中 位 于 集 略 列表 下 位 的 策略 ， 
就 会 导致 性 能 的 下 降 。 

















07.04.06 ”无 线 LAN 性 能 的 考量 方法 


无 线 LAN 理论 上 所 能 达到 的 最 大 吞吐 率 请 参考 本 书 
06.05.02 节 。 

在 实际 环境 中 ， 考 虑 到 CSMA/CA 的 执行 以 及 无 线 电波 的 
干涉 现象 、 距 离 的 远近 导致 无 线 电 波 强 弱 的 不 同等 原因 ， 
往往 很 难 达 到 无 线 LAN 理论 所 支持 的 最 大 吞吐 率 。 


CSMA/CA 








IEEE 802.11 中 的 无 线 LAN 使 用 了 CSMA/VCA (Carrier 
Sense Multiple Access/Collision Avoidance) 通信 方式 。 


CSMA 中 CS 用 来 执行 载波 侦 听 ， 当 遇 到 其 他 终端 正在 发 
送 数据 帧 时 ， 该 站 点 停止 发 送 并 等 待 ， 直 至 其 他 终端 发 送 
完毕 。MA 是 指 多 址 接 入 ， 即 1 个 传输 媒介 由 多 个 通信 终 
端 共 享 。 


CA 表示 冲突 避免 (Collision Avoidance) 的 意思 ， 执 行 补 
偿 控制 。 通 过 无 线 LAN 发 送 数据 帧 的 移动 站 点 等 竺 一 个 
随机 长 度 的 补偿 时 间 ， 当 确认 传输 媒介 空闲 时 再 继续 发 送 
数据 帧 。 通 过 该 机 制 可 以 错开 多 个 节点 同时 进行 数据 帧 发 
送 的 时 机 ， 有 效 地 降低 了 冲突 发 生 的 可 能 性 。 


使 用 CSMA/CD 的 半 双 工 有 线 LAN 相 比 则 无 需 等 待 补偿 
时 间 ， 在 空闲 状态 能 够 通过 连续 发 送 数据 帧 间隔 (IFG) 
完成 整个 通信 过 程 (图 7-6) 。 当 多 个 节点 同时 发 送 数据 
造成 冲突 〈Collision) 时， 则 执行 相应 的 补偿 算法 。 


节点 A 

















1 
(| | 一 一 
时 间 

发 送 结束 发 送 开始 
若 空闲 状 态 出 现 帧 间隔 ( IFG，Inter Frame Gap ) ， 则 立刻 发 送 下 一 个 数据 帧 





CSMAVYCA ( 无 线 LAN ) 场景 





节点 A ”一 ee 
[收据 帧 间隔 )-[ | 补偿 时 间 | 数据 由 


! H H , 时 间 
发 送 开 始 。” 发 送 结束 发 送 开始 发 送 结束 


空闲 状态 出 现 帧 间隔 后 ， 等 待 随 机 长 度 的 补偿 时 间 过 去 ， 再 发 送 下 一 个 数据 帧 


图 7-6 CSMA/CD 与 CSMA/CA 发 送 数据 帧 时 的 不 同 


由 于 有 线 LAN 能 够 通过 电气 噪音 及 时 检测 冲突 的 发 生 ， 
而 无 线 LAN 无 法 迅速 有 效 地 检测 冲突 ， 因 此 只 能 采用 
CSMA/CA 的 机 制 来 避免 冲突 的 发 生 。 


ACK 数据 帧 


接收 数据 帧 之 后 的 移动 站 点 需要 返回 ACK 数据 帧 ， 当 发 
送 方 接收 到 ACK 数据 帧 后 表示 整个 数据 通信 过 程 结束 。 
但 无 线 信号 状况 较为 糟 料 时 ， 如 果 接 收 方 没有 收 到 数据 
帧 ， 残 不 会 发 送 ACK 数据 帧 ， 这 时 发 送 方 会 重 发 数据 

帧 。 男 一 方面 ， 当 接收 方 顺利 收 到 数据 并 返回 了 ACK 数 
据 帧 ， 但 是 发 送 方 却 因 为 菜 种 原因 没有 收 到 ACK 数据 帧 
时 ， 接 收 方 也 会 再 次 有 发送 ACK 数据 帧 。 移 动 站 点 和 接 入 
3 














一 般 在 实际 环境 中 ， 重 发 数据 的 概率 大 约 在 20% 左右 。 
现场 调查 

通过 使 用 频谱 分 析 仪 进行 的 现场 调查 〈 事 先 现场 勘查 ) 工 
作 ， 能 够 确认 无 线 网 络 布 网 区 域 的 无 线 信 号 干涉 情况 ， 反 
射 波 段 、 外 部 无 线 电波 带 来 的 影响 以 及 噪音 带 来 的 影响 ， 
从 而 能 够 部 署 和 配置 最 佳 接 入 点 。 

一 般 现 场 调查 可 以 按照 下 面 的 步 又 来 完成 。 

1. 准备 办 公 场 所 的 平面 图 。 


2. 测试 从 相 邻 接 入 点 及 出 的 无 线 电流， 了 解 当前 位 置 无 线 
电波 的 情况 。 


3. 通过 模拟 来 确定 需要 部 车 的 接 入 点 数量 、 无 线 电波 强度 
和 使 用 的 频带 ， 并 标记 到 办 公 场 所 的 平面 图 上 。 


4. 根据 模拟 结果 ， 对 配置 的 接 入 点 进行 临时 配置 并 进行 验 
有 











2 对 接 入 点 是 否 能 够 更 凋 所 有 区 域 进行 最 终 
确认 。 


07.05 ”根据 物理 需求 选择 产品 
07.05.01 交换 机 的 选择 
接 入 交换 机 的 选择 


同 客户 端 终端 相连 的 交换 机 可 以 选择 下 行 端口 速度 为 
10/1000BASE-TX 或 10/100/1000BASE-T 的 任意 一 款 。 


目前 ， 大 多 数 企 业 的 接 入 交换 机 都 配备 了 
10/100/1000BASE-T 类 型 的 下 行 端 口 。 如 果 选 择 了 本 书 第 
2 章 提 到 的 非 阻塞 式 交 换 机 ， 那 么 从 客户 端 连接 至 服务 器 
时 ， 交 换 机 不 会 成 为 整个 网 络 的 瓶颈 ”。 而 如 果 选 择 价 格 
便宜 的 阻塞 式 交 换 机 ， 束 需要 用 户 充分 考虑 网 络 瓶 宽 的 情 
证 








”瓶颈 是 指 网 络 线路 的 某 个 特定 部 分 如 瓶子 的 颈 部 般 狭 窗 ， 从 而 限制 了 整个 
网 络 的 通信 流量 。 
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一 -fem 


接 入 交换 机 
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图 7-7 接 入 交换 机 的 下 行 链 路 


目前 个 人 计算 机 一 般 都 已 配备 10/100/1000BASE-T 的 网 络 
接口 ， 但 如 果 接 入 交换 机 使 用 的 是 10/1000BASE-TX， 那 
么 自 适 应 功能 就 会 使 个 人 计算 机 与 交换 机 之 间 的 链 路 速度 
变 为 100Mbit/s。 如 果 除 下 行 链 路 之 外 ， 其 他 通信 路 径 的 


链 路 速度 都 达到 了 1Gbiys， 那 么 下 行 链 路 就 可 能 成 为 整个 
网 络 的 瓶颈 。 


当 接 入 交换 机 连接 的 客户 端 需要 访问 互联 网 时 ， 如 果 出 现 
下 面 这 些 情况 ， 接 入 交换 机 才 基 本 不 会 成 为 网 络 的 瓶颈 。 


人 
络 瓶 锋 。 


。 虽然 下 行 链 路 达到 了 100Mbit/s 或 1Gbit/s 的 连接 速 
度 ， 但 端 到 端 (客户 端 至 服务 器 〉 之 间 的 TCP 连接 
执行 了 流量 控制 ， 将 普通 TCP 上 应 用 程序 中 每 个 连 
接 的 最 大 吞吐 量 限制 在 了 几 Mbits 的 程度 。 


大 多 数 接 入 交换 机 都 采用 2 个 或 4 个 千 兆 上 行 端口 的 配 

置 。 交 换 机 使 用 2 个 千 兆 上行 端 口 时 ， 同 时 连接 网 络 上 层 
的 2 台 汇 聚 交 换 机 或 核心 交换 机 组 成 了 元 余 组 网 结构 。 交 
换 机 使 用 4 个 千 兆 上 行 端口 时 ， 则 构成 2 组 以 太 网 通道 ， 

以 2 倍 的 吞吐 率 和 上 层 交 换 机 组 成 了 宛 余 组 网 结构 〈 图 7- 
8) 。 








图 7-8 ”元 余 组 网 结构 
下 行 端口 数目 则 根据 客户 端 或 打印 机 等 通过 有 线 LAN 连 





接 的 终端 数量 来 具体 决定 。 
汇聚 交换 机 以 及 核心 交换 机 的 选择 


在 大 规模 校园 网 络 中 ， 需 要 引入 接 入 交换 机 、 汇 聚 交 换 
机 、 核 心 区 换 机 这 样 的 分 层 化 组 网 结构 。 这 和 是， 汇聚 交换 
机 以 及 核心 交换 机 均 需 要 使 用 非 阻塞 结构 的 设计 。 


汇聚 交换 机 的 下 行 链 路 一 般 使 用 千 兆 网 络 接 口 和 接 入 交换 
机 的 上 行 链 路 进行 连接 。 


在 3 层 组 网 结构 中 ， 汇 聚 交 换 机 的 上 行 链 路 需要 同 核心 交 
换 机 的 下 行 链 路 进行 连接 ， 而 在 2 层 组 网 结构 中 ， 接 入 区 
换 机 的 上 行 链 路 需要 同 核心 交换 机 的 下 行 链 路 进行 连接 。 
虽然 在 这 类 链 路 中 10Gbit/s 网 络 接口 的 使 用 正在 逐渐 增 

加 ， 不 过 估计 以 后 使 用 40Gbit/s 以 及 100Gbit/s 网 络 接口 
的 情况 也 会 越 来 越 多 。 


如 果 从 校园 网 络 接 入 互联 网 ， 那 么 路 由 右 以 及 防火 墙 往 往 
会 成 为 整个 网 络 的 瓶颈 。 但 如 果 校 园 网 络 中 LAN 通信 比 
较 多 ， 而 汇聚 交换 机 或 核心 安 换 机 又 是 阻塞 结构 的 话 ， 区 
换 机 则 可 能 成 为 最 大 的 网 络 瓶 贷 (图 7-9) 。 如 果 预 算 足 
够 ， 最 好 所 有 的 交换 机 都 采用 非 阻 竖 的 设计 ， 但 是 如 采 这 
扩 无 法 做 到 ， 就 应 该 推测 整个 网 络 的 通信 流量 ， 从 而 选择 
否 吐 量 满足 最 低 需 求 的 交换 机 。 即 使 交换 机 成 了 网 络 的 瓶 
有 贷 ， 由 于 在 校园 网 内 部 延迟 很 小 (根据 物理 距离 的 不 同 ， 
延迟 在 1 毫秒 至 数 毫 秒 之 间 ) ， 端 到 端的 网 络 速度 还 是 非 
常 快 的 。 男 外 ， 如 果 承 载 于 TCP 的 应 用 程序 实施 了 窗口 
控制 或 重用 控制 等 流量 控制 措施 ， 那 么 用 户 的 通信 和 则 不 会 
因为 交换 机 成 为 了 网 络 瓶 颈 而 停止 。 































这 里 的 处 理 可 能 会 






a ws 
| 
i 


ey 
Gy 


se 






| ee 
a 


< 


图 7-9 经 由 接 入 交换 机 、 汇 聚 交 换 机 的 LAN 通信 
汇聚 交换 机 以 及 核心 交换 机 的 端口 数 需 要 根据 连接 的 接 入 
交换 机 以 及 终端 的 数目 来 进行 设计 。 机 框 式 核心 交换 机 能 
够 通过 增加 线 卡 模块 来 满足 端口 的 后 续 增 加 需求 。 

设计 能 够 通过 PoE 来 供电 的 电源 容量 

通过 PoE 供电 技术 对 无 线 LAN 接 入 点 、IP 电话 等 设备 进 
行 供电 时 ， 需 要 对 能 够 供给 的 电源 容量 进行 总 体 的 设计 与 
规划 ( 表 7-11) 。 


表 7-11 能 够 实施 PoE 供电 的 规格 范例 


Cisco Systems Catalyst 3750 系 列 交 换 机 


WS-C3750E- PoE 能 够 供给 420W 的 电能 ， 所 有 24 个 端口 都 能 
24PD-S 够 独立 供给 15.4W 的 电能 








PoE 能 够 供给 800W 的 电能 ， 所 有 48 个 端口 都 能 


够 独立 供给 15.4W 的 电能 


BUFFALO L2 PoE 智 慧 型 交换 机 


BUFFALO BS- PoE 最 多 能 够 供给 30W 的 电能 ，24 个 端口 通过 
POF-124GMR 10/100BASE-TX 线 线 进行 共享 





07.05.02 ”路 由 器 的 选择 
路 由 器 的 网 络 接口 数目 需要 依据 所 连接 的 网 段 数量 来 选 


择 。 


在 以 太 网 中 ， 使 用 的 物理 网 络 接口 数目 只 要 满足 最 低 限 就 
可 以 了 ， 可 以 通过 添加 下 行 处 的 工 2 交换 机 来 增加 网 络 接 
口 的 数目 ， 也 可 以 使 用 VLAN 中 的 子 网 接口 来 缓解 网 络 
接口 不 足 的 问题 。 


遇 到 以 太 网 之 外 的 协议 网 络 ， 则 需要 考虑 端口 的 数目 。 如 
VoIP 需要 用 到 的 RJ-11 端口 ，ISD N 相关 的 接口 以 及 AT 
M、TLEL、PO S 等 网 络 接口 都 需要 配备 同 需求 相 一 致 
的 接口 数量 。 大 多 数 路 由 器 产品 都 提供 了 搭载 这 些 接口 的 
接口 模块 卡 ， 使 得 后 期 扩容 工作 中 能 够 添加 接口 数 。 


07.05.03 防火墙 产 品 的 选择 


在 互联 网 网 关 处 设立 防火 墙 时 ， 一 般 需要 准备 2 个 端口 ， 
即 连 接 互 联网 的 上 行 端口 和 连接 内 部 网 〈Intranet) 的 下 行 
端口 。 这 样 的 连接 方式 称 为 内 联 连接 (Cin-line) ， 也 是 最 
为 传统 的 防火 墙 设置 方式 。10 年 之 前 几乎 所 有 的 防火 墙 
均 采 用 该 设置 方式 ， 传 统 型 的 防火 墙 设备 一 般 也 就 只 配备 
2~4 个 板 载 端 口 。 


当前 的 防火 墙 尤其 是 新 一 代 防 火 墙 有 很 多 产品 为 了 保障 安 
全 性 ， 会 设置 在 内 部 网 中 ， 并 且 同 时 配备 RJ-45、 
SFP/SFP+ 等 接口 ， 提 供 8~24 个 网 络 端口 。 如 果 要 使 用 工 











07.06 ”确认 网 络 设备 的 互 操 作 性 


互 操作 性 〈interoperability) 表示 网 络 中 不 同类 型 的 网 络 设 
备 互 相连 接 后 也 能 够 正常 通信 的 情况 ， 也 称 为 互联 性 


(interconnectivity) 。 

由 于 网 络 设备 一 般 都 实现 了 相同 的 RFC 或 IEEE 等 各 种 标 
准 或 协议 ， 因 此 不 同 广 商 之 间 的 设备 之 间 可 以 说 应 该 是 具 
备 互联 性 的 。 

但 男 一 方面 ， 往 往 会 有 厂商 独自 实现 一 些 尚未 标准 化 的 先 
进 功 能 ， 这 类 功能 则 是 无 法 在 所 有 硬件 上 运行 的 。 

当 需 要 引入 多 个 不 同 广 商 生产 的 网 络 硬 件 进行 组 网 时 ， 就 
需要 考虑 到 这 些 设 备 的 互 操作 性 ， 并 以 此 作为 选择 设备 的 
一 项 重要 依据 。 

像 访问 控制 列表 或 病毒 扫描 等 能 够 在 网 络 硬件 内 部 处 理 ， 
ee 
操作 性 。 


需要 考虑 设备 互 操 作 性 的 功能 种 类 可 以 参考 表 7-12。 
表 7-12 需要 考虑 互 操作 性 的 功能 种 类 与 范例 




















思科 公司 的 
HSRP、EIGRP、 





























由 厂商 独自 | 不 件 则 无 法 协同 工 
实现 的 功能 | 作 























苦于 行内 团 | 只 要 接受 了 认证 不 同 厂商 的 产品 也 |WPA、 
实现 的 功能 能 协同 工作 1 














基于 标准 化 | 相同 标准 草案 对 应 的 产品 能 够 协同 
团体 的 草案 | 工作 ， 但 由 于 标准 化 工作 尚未 完 。 |RFC 草 案 、IEEE 
标准 实现 的 | 成 ， 可 能 部 分 实现 还 是 会 因 厂 商 的 |802.1ln 草 案 等 
功能 不 同 而 不 一 致 









































RFC 的 VRRP、 
厂商 支持 正式 标准 的 硬件 都 可 |RIP、OSPF、 





其 也 联 并 访 同 工 作 BGP、IEEE 的 
IEEE 802.3ad 等 

















07.07 高 可 用 性 的 考量 方法 
MTBF 与 MTTR 


包含 网 络 设备 的 电气 产品 以 及 计算 机 系统 等 通 津 使 用 
MTBF (Mean Time Between Failures， 平 均 故 障 间 隔 时 
间 ) 指标 参数 来 计算 其 出 现 故 障 的 概率 。 


网 络 设备 产品 的 规格 说 明 书 中 一 般 都 会 记载 MTBF 数 
本 (Chour) 为 单位 ， 可 以 使 用 下 面 这 个 公 
式 计 算 。 


MTBF= 运行 时 间 / 故障 次 数 


ee 中 ，MTBF 还 能 够 使 用 预测 法 或 推测 法 计算 出 


预测 法 之 一 的 产品 积 点 法 首先 会 调查 硬件 内 部 必 片 、 电 容 
等 部 件 的 故障 率 信息 ， 然 后 使 用 系数 将 这 些 信息 串联 起 来 
计算 出 MTBF 值 。 该 方法 在 产品 开发 的 初级 阶段 也 能 够 
算出 成 型 产品 的 MTBF 参数 值 。 


推测 法 之 一 的 域 数据 计量 法 通过 记录 多 个 样本 数据 ， 观 察 
在 相对 较 短 的 时 间 内 有 多 少 台 设备 发 生 了 故障 ， 并 以 此 推 
算出 MTBF 值 。 例 如 ， 同 时 启动 1 万 台 相 同 的 设备 运行 
100 个 小 时 ， 这 个 期 间 如 果 出 现 了 5 台 设 备 故 障 ， 则 可 以 
通过 “1 万 台 x100 小 时 =5 次 故障 =20 万 小 时 ”这 样 的 方法 
来 计算 得 到 MTBF 值 。 虽 然 计 算 1 台 台 设备 运行 至 发 生 
第 1 次 故障 的 时 间 值 能 够 同 实际 的 MTBF 值 更 加 接近 ， 
但 这 种 想法 在 现实 中 并 不 具备 可 操作 性 。 


根据 日 本 厚生 劳动 省 的 统计 数据 ， 在 平成 19 年 蕴 , 日 
本 20 岁 男性 的 死亡 率 为 0.056% 。 如 果 将 其 视 为 故障 率 的 
话 ，MTBEF 值 则 为 “1:0.00056=1786 年 >。 但 实际 20 岁 男 
性 的 平均 剩余 寿命 为 59.08 岁 ， 人 类 的 寿命 也 肯定 超 不 过 
1000 年 。 与 此 类 似 ，MTBF 数值 也 同 实际 的 耐用 年 限 没 








有 任何 关系 ， 仅 仅 是 通过 实际 运行 时 间 计 算出 的 故障 率 理 
论 值 轻 了 ， 这 一 点 需要 注意 。 





1 相当 于 我 国 国务 院 下 属 的 人 力 资源 和 社会 保障 部 。 一 一 译 者 注 





11 即 公 元 2007 年 。 一 一 译 者 注 





故障 率 可 以 通过 MTBEF 的 倒数 计算 而 得 。 
故障 率 =1/MTBF 


MTTR (Mean Time To Repair， 平 均 修复 时 间 〉 是 指 系 统 
发 生 故 障 后 至 修复 完毕 所 花费 的 平均 时 间 。 网 络 设备 自 寻 
一 般 不 存在 MITR 的 概念 ， 但 以 端口 、 模 块 、 机 框 为 单 
位 、 由 热 备 份 或 冷 备 份 等 元 余 结 构 组 成 的 系统 中 则 有 最 小 
MTTR 值 的 概念 。 对 于 非 元 余 结构 系统 而 言 ， 则 需要 考虑 
重新 引入 蔡 换 设备 所 花费 的 时 间 以 及 蔡 换 设备 从 输入 设置 
人 动 所 花费 的 时 间 等 ， 从 而 计算 出 MTTR 的 数 


系统 的 运行 概率 可 以 通过 下 面 公式 计算 而 得 。 
正常 运行 概率 =MTBF/(MTBF+MTTR) 


人 简 而 言 之 ， 束 是 MTBF 值 越 大 而 MTTR 值 越 小 的 系统 可 
用 性 更 高 。 








07.08 ”价格 相关 的 考量 方法 
07.08.01 ”端口 单价 


网 络 设备 的 价格 按 问 口 数目 来 划分 束 能 够 计算 出 端口 的 单 
价 。 例 如 ， 东 网 络 设备 价格 为 240 万 日 元 ， 大 该 设备 的 端 
口 数 目 为 24 个 ， 则 单个 端口 的 价格 为 10 万 日 元 。 病 口 的 
价格 会 随 着 端口 速度 的 提高 而 上 浮 ， 奉 设备 的 端口 速度 相 
同 ， 则 设备 价格 还 会 根据 搭载 的 功能 而 有 所 变化 。 对 于 搭 
载 的 功能 与 端口 速度 都 相同 的 两 蒜 产 品 ， 选 择 的 产品 端口 
单价 越 低廉 ， 所 获得 的 成 本 收益 就 越 大 。 


07.08.02 ”比特 单价 


网 络 设备 的 价格 还 可 以 按照 以 bits 为 单位 的 吞吐 率 来 进 

行 划分 ， 从 而 计算 出 比特 单价 。 例 如 单价 为 100 万 日 元 的 

交换 机 容量 为 10Gbit/s， 则 比特 单价 为 9.3x10 一 5 日 元 。 

人 
站 


07.08.03 “学习 成 本 


学 习 成 本 是 指 在 买 入 产品 后 的 1 年 之 内 (或 和 个 固定 期 间 
内 ) 使 用 产品 时 所 花费 的 费用 ， 其 中 包括 支持 费用 、 许 可 
证 费用 、 电 费 、 人 力 资 源 费 用 等 。 


许可 证 费用 


许可 证 (icense〉 表示 用 户 能 够 使 用 产品 某 些 功能 的 权 
力 。 一 旦 购买 了 许可 证 ， 便 能 够 一 直 使 用 产品 的 该 项 功 
能 ， 例 如 虚拟 路 由 器 、 虚 拟 防 火 墙 、 远 程 接 入 VPN、 功 
能 升级 等 功能 。 


对 于 反 病 毒 以 及 基于 内 容 的 扫描 等 功能 ， 许 可 证 一 般 是 按 
年 发 放 的 ， 即 许可 证 的 有 效 期 为 1 年 ， 以 后 每 年 都 需要 更 
新 ， 这 类 方式 的 许可 证 称 为 订阅 许可 。 订 阅 许可 一 般 也 就 




















意味 着 需要 文 付 订阅 费 ， 随 着 时 间 的 推移 ， 需 要 定期 更 新 
许可 信息 才能 得 到 相关 产品 的 使 用 权利 。 


许可 证 以 及 订阅 许可 有 的 能 够 单独 购买 ， 有 的 则 必须 同 产 
品 文 持 协议 一 同 签 订购 买 。 


许可 证 以 及 订阅 许可 的 购买 分 为 "以 机 框 为 单位 5 和 “以 用 
户 数 为 单位 ”两 种 类 型 。 


以 机 框 为 单位 表示 1 台 设 备 只 需 购 入 1 份 许可 证 或 订阅 许 
可 ， 使 用 该 设备 的 功能 时 对 于 设备 承载 的 用 户 数 量 、 会 话 
数目 、 通 信 流 量 均 不 做 限制 。 


以 用 户 数 为 单位 ， 则 表示 根据 设备 产品 具体 的 用 户 数量 来 
决定 许可 证 或 订阅 许可 的 价格 ， 用 户 数 越 多 许可 证 价格 囊 
越 贯 ， 但 厂商 一 般 都 会 提供 用 户 数量 越 多 用 户 单价 就 越 便 
宜 的 批量 价格 折扣 服务 。 

人 力 资 源 费 用 

用 户 企 业 购 入 产品 后 ， 需 要 使 用 多 少 人 力 来 管理 产品 束 决 
定 了 人 力 资 源 所 需 的 费用 。 另 外 ， 人 力 资 源 费 用 还 包括 了 
在 引入 新 产品 时 进行 教育 培训 的 费用 成 本 。 


使 用 越 是 便捷 的 产品 需要 的 管理 人 员 数 量 也 就 越 少 ， 因 此 
能 够 市 约 人 力 资源 费用 的 开 文 。 

网 络 产品 人 力 资 源 费 用 的 价格 还 涉及 到 该 产品 是 否 配备 了 
容易 使 用 的 GUI 界面 和 设置 方法 ， 发 生 问题 时 是 人 否 容 易 
诊断 与 区 分 ， 是 否 附 带 无 偿 或 有 偿 的 培训 以 及 同 第 三 方 网 
络 监控 产品 的 互 操作 性 情况 等 因素 。 

电能 消耗 量 


如 果 产 品 的 功能 以 及 吞吐 率 相 同 ， 一 般 选 择 消 耗 电 能 较 少 
的 产品 为 好 ， 这 样 才能 节省 长 期 的 运营 成 本 。 


表 7-13 不 同 网 络 设备 机 型 所 消耗 的 电能 














Cisco Systems CRS-1《〈 高 端 路 由 器 ) 8750W 


ALAXALA Networks AX7702R 〈 中 端 路 由 二 
和 495W 

人 

Cisco ISR 3845 (中 端 路 由 器 ) 79~360W 

YAMAHA RTX1100〔 低 端 路 由 器 ) 








BUFFALO BBR-4HG (宽带 路 由 器 ) 
人 、 etworks EX4200-24T 〈 箱 式 交 换 
As Light GM124GT-SS〈 箱 式 交换 
机 ) 注 





BUFFALO BS-G2108UR (桌面 型 交换 机 ) 
注 1 





注 1: 交换 机 中 如 果 打 开 PoE 功能 ， 则 会 导致 消耗 电能 的 增加 。 


另外 ， 大 多 数 网 络 硬件 一 般 都 使 用 AC《〈 交 流 ) 电源 供 
电 ， 但 也 有 些 产品 支持 DC 〈 直 流 ) 供电 。 如 果 设 备 内 部 
使 用 AcC 方式 供电 ， 就 需要 将 外 部 的 交流 电 转 换 为 内 部 所 
需 的 直流 电 ， 这 时 的 用 电 效 率 会 根据 功率 因子 的 值 而 有 所 
下 降 (参考 01.04.12 小 节 中 的 表 1-46) 。 因 此 ， 最 好 直接 
使 用 DC 供电 让 用 电 效 率 最 大 化 ， 尤 其 是 数据 中 心 以 及 安 
全 设备 等 ， 它 们 大 多 都 使 用 了 DC 电源 进行 供电 。 














绿色 IT 


为 地 球 环境 着 想 的 开 产品 、IT 基础 设施 ， 以 及 和 环境 保 
尔 为 
绿 


为 了 降低 对 环境 的 负担 ， 现 在 越 来 越 多 的 用 户 企业 开始 在 
置办 网 络 硬件 时 将 绿色 IT 理念 加 入 到 选 购 条 件 中 ， 例 如 
要 求 网 络 硬 件 能 够 省 电 或 者 具有 可 回收 性 等 。 


网 络 硬件 中 与 绿色 IT 理念 相关 的 事项 包括 : 设备 的 省 电 
程度 和 降低 有 发热， 使 用 复合 功能 产品 来 普 代 多 个 单一 功能 
产品 ， 例 如 在 安全 设备 中 使 用 UTM 或 者 在 网 络 中 使 用 虚 
拟 路 由 器 、 虚 拟 防火 墙 来 减少 物理 机 框 的 数量 ， 其 至 使 用 
虚拟 化 技术 将 网 络 设备 和 服务 器 产品 统一 整合 等 。 


另外 ， 使 用 PoE 等 供电 技术 改善 现 有 供电 设施 以 及 改善 空 
调 系统 都 属于 绿色 IT 范畴 的 一 部 分 。 








节能 法 案 是 “合理 使 用 能 源 的 相关 法 律 ”* 的 简称 ， 是 日 本 在 
石油 危机 2 期 间 于 昭和 5413 年 制定 的 法 律 。 该 法 律 骨 
在 “以 内 部 和 外 部 能 源 为 中 心 、 确 保有 效 使 用 与 经 济 社会 
环境 相 适 应 的 燃料 资源 ”以 及 “为 了 综合 推进 工厂 或 施工 场 
所 、 运 输 、 建 筑 物 、 机 械 器 有 具 等 领域 合理 使 用 能 源 而 寻求 
必要 的 措施 ”。 








1 这 里 指 的 应 该 是 爆发 于 1978 年 底 的 第 二 次 石油 危机 。 世 界 第 二 大 石油 出 
sh 亲 美 的 温和 派 国 王 巴 列 维 下 台 ， 由 此 引发 了 
次 石油 危机 ， 油 价 在 1979 年 开始 暴涨 ， 从 每 桶 13 美元 独 增 至 1980 年 
的 美元 。 一 一 译 者 注 



















































































1 即 公 元 1979 年 。- _ 译 者 注 


目前 市 面 上 的 产品 均 以 节能 法 案 中 描述 的 拥有 最 高 节能 性 
能 的 设备 为 基准 (领跑 标准 ) ， 参 考 整 个 市 场 高效 使 用 能 
源 的 领跑 标准 ， 对 特定 的 硬件 (包括 汽车 以 及 家 电 ) 设置 
对 应 的 节能 标准 。2009 年 7 月 修订 、 实 施 的 节能 法 案 


中 ， 关 于 网 络 硬件 的 特定 设备 中 增添 了 传输 速率 总 和 在 
200Mbit/s 以 下 且 不 配 有 VPN 的 小 型 路 由 器 以 及 L2 交换 
机 ， 并 制定 了 相应 的 领跑 标准 。 同 时 ， 还 规划 了 对 速度 在 
ee 以 上 的 路 由 器 以 及 L3 交换 机 制定 领跑 标准 的 计 
| 


也 有 些 网 络 硬件 产品 会 提供 类 似 于 ALAXALA 网 络 公司 
的 “动态 省 电 ” 这 种 功能 ， 使 设备 运行 在 省 电 模 式 或 是 睡眠 
模式 下 从 而 达到 市 省 电能 的 目的 。 


根据 日 本 经 济 产 业 省 绿色 开 推进 协会 的 估算 (2008) ， 
2006 年 开设 备 消耗 电能 为 466 亿 kWh， 其 中 网 络 硬件 大 
约 耗费 了 80 亿 kWh 的 电能 ， 约 占 整 个 电能 消耗 的 17%。 
估计 在 2025 年 ， 整 个 I 开设 备 消耗 电能 将 达到 2417 亿 
kWh， 其 中 网 络 硬件 将 消耗 1033kWh， 占 据 整 体能 耗 的 
43%， 同 2006 年 相 比 ， 大 约 将 增加 13 倍 。 


在 该 背景 下 ， 实 施 网 络 硬件 节能 对 策 的 呼声 愈 发 高 涨 ， 其 
重要 性 也 日 渐 突 出 。 


07.08.04 支持 的 费用 


大 多 数 网 络 人 硬件 厂商 尤其 是 海外 设备 商 生 产 的 产品 ， 用 户 
如 果 想 要 获得 日 后 这 些 产 品 升级 更 新 的 权利 ， 束 需要 同 三 
商 签 订 每 年 的 支持 合同 。 根 据 这 些 支 持 合同 ， 当 软件 或 硬 
件 发 生 问 题 时 ， 厂 商 的 维护 部 门将 无 偿 接 受 问 询 、 同 用 户 
提供 软件 补丁 或 提供 版 本 升级 。 用 户 癌 厂商 维护 部 门 提出 
的 问 询 称 为 用 户 案 例 (Case) 或 服务 指派 (Service 
Ticket) ， 这 些 用 户 案例 或 服务 指派 都 会 分 配 编号 来 进行 
管理 。 


硬件 往往 具有 保修 期 ， 在 该 期 间 如 宁 发 生 故 障 ， 那 么 即使 
没有 文 持 合同 也 能 获得 三 商 提供 的 无 偿 答 换 服 务 。 











07.09 ”达到 采购 条 件 

07.09.01 ”绿色 采购 

绿色 采购 是 指 具 有 环保 意识 的 用 户 在 采购 时 着 重 考 量 产 品 
在 节省 能 源 、 节 省 资源 、 禁 止 或 减少 有 害 化 学 物质 、 产 品 
回收 等 情况 ， 优 先 采 购 零 部 件 、 使 用 材料 和 包装 都 符合 环 
境 保护 需求 的 产品 。 


绿色 采购 不 仅 要 求 供 应 商 采 取 环 境 保 护 的 管理 措施 ， 而 且 
对 产品 的 使 用 材料 也 有 一 定 的 要 求 。 


供应 商 采取 的 环境 保护 管理 措施 

1. 构建 以 ISO14000 为 基础 的 环境 管理 体制 。 

2. 实施 绿色 采购 (或 已 有 开始 实施 的 计划 〉。 

3. 掌握 产品 用 料 的 化 学 物质 成 分 并 配 有 相应 的 管理 体 


pa 











4. 能 够 配合 用 户 企 业 对 其 购买 产品 的 用 料 进 行 化 学 物 
质 调查 。 


5. 配合 用 户 企业 降低 产品 使 用 对 环境 的 负担 。 


对 产品 用 料 的 要 求 事项 


1. 不 含有 标准 规定 的 禁用 物质 成 分 ， 或 者 产品 制造 过 
程 中 没有 使 用 标准 规定 的 工程 禁用 物质 。 


2. 对 于 标准 中 虽 未 茶 止 但 定义 为 “指定 化 学 物质 ”的 成 


分 需要 提供 详细 信息 。 


3. 明确 告知 产品 部 件 及 构成 材料 使 用 的 材质 信息 。 





4. 使 用 塑料 成 型 品 时 ， 尽 可 能 标明 其 在 JIS K6899、 
JISK6899-2 以 及 JIS K6999 等 清单 中 记载 的 材料 编号 


百 /vo 


5. 采用 减少 消耗 电能 与 轻便 化 等 节省 能 源 和 资源 的 设 
Vs 


6. 产品 包装 使 用 易 回收 的 材料 或 对 环境 负担 较 小 的 材 
料 (例如 : 聚 乙 烯 、 聚 茶 乙 烯 、 聚 酯 、 降 解 塑料 
等 ) 。 


07.09.02 ”符合 RoHS 要 求 


RoHS (Restriction of the use of certain Hazardous 
Substances， 在 电子 电气 产品 中 限制 使 用 某 些 有 害 物质 的 
指令 ) 是 指 欧盟 在 电气 、 电 子 设 备 中 限制 使 用 特定 有 害 物 
质 的 相关 法 案 。 


该 法 案 规定 在 欧盟 境内 销售 的 网 络 便 件 必须 符合 该 项 标 
准 ， 但 在 日 本 也 第 种 会 要 求 采 购 的 产品 必须 符合 RoHS 相 
天 规定 ， 不 含有 指定 的 有 害 物 质 。 











表 7-14 RoHS 指令 中 提 到 的 有 害 物 质 


介 铬 

















| MN 铬 |j1o00ppm 以 F 
多 省 联 茶 (PBB) 1,000ppm 以 下 


多 省 二 茶 醚 (PBDE) 1,000ppm 以 下 


























07.09.03 ”加 密 出 口 管理 相关 


长 度 超过 56bit 的 共享 密 钥 加 密 技术 ， 或 者 长 度 超过 
512bit( 椭 加 加 密 等 算法 中 为 112bit) 的 公开 密 钥 加 密 技 
术 ， 无 论 使 用 哪 种 加 密 技术 的 加 密 装 置 在 运 出 日 本 或 提供 
给 国内 外 的 非 长 住 居民 苇 时 ， 必 须 符合 “外 汇 及 对 外 贸 





管理 法 ”中 出 口 许可 的 相关 规定 或 办 理 了 相关 业务 许可 手 
续 。 但 是 ， 根 据 加 密 出 口 相关 的 行政 命令 和 通告 ， 寿 满足 
一 定 的 条 件 也 可 以 省 去 申请 出 口 许可 的 过 程 。 


邓 非 长 住 居民 包括 国外 滞留 2 年 以 上 的 日 本 人 、 为 在 外 国事 务 所 工作 而 出 
国 并 留 在 国外 的 日 本 人 、 在 国外 居住 的 外 国信、 国外 的 外 国法 人 、 日 本 法 人 
的 外 国 分 分 支 机 构 等 。 





























实现 IPsec-VPN 或 SSL-VPN 的 产品 因为 使 用 的 是 长 度 在 
128~256bit 的 AES 共享 密 铀 ， 或 者 长 度 在 1024~2048bit 
之 间 的 RSA 公开 密 钥 ， 因 此 在 出 口 时 必须 申请 有 关 的 许 
I 


今后 相关 法 信人 还 会 有 所 变更 ， 因此 在 出 口 涉 及 加 密 技术 的 
装置 时 ， 需 要 确认 一 下 是 否 符合 相关 法 律 的 要 求 。 











07.10 ”售后 文 持 相关 的 基础 知识 


07.10.01 网络 硬件 的 维护 


宽带 路 由 占 以 及 一 部 分 的 低 端 路 由 器 都 是 由 用 户 在 家 电 专 
卖 店 或 互联 网 电子 商务 网 站 处 购 得 并 亲自 设置 ， 随 后 用 于 
i 
将 升级 ， 


另 一 方面 ， 用 于 企业 或 服务 供应 商 的 网 络 硬件 的 购 入 渠道 
则 多 数 为 销售 代理 商 《〈 售 后 维护 方 ) ， 设 备 维护 相关 的 工 
作 也 与 销售 代理 商 密切 相关 。 


当 用 户 在 使 用 网 络 人 硬件 产品 时 过 到 软 人 硬件 问题 时 ， 会 咨询 
相应 的 销售 代理 商 。 销 售 代理 商 收 到 来 自用 户 的 反馈 问题 
后 ， 会 调查 是 否 为 常规 已 知 问题 ， 如 果 是 未 知 问题 ， 就 会 
联系 产品 的 厂商 来 协同 解决 中 。 


5” 中国 国内 大 都 也 采取 类 似 的 商业 模式 。 一 一 译 者 注 











现场 维护 


所 谓 的 现场 ， 是 指 放置 网 络 设备 的 地 方 。 现 场 维护 是 用 户 

与 代理 商 所 签 合 同 中 的 一 项 条 丈 ， 表 示 当 人 硬件 发 生 故 障 

时 ， 销 售 设备 的 代理 商会 将 蔡 换 设备 配送 到 用 户 放 置 设备 

的 地 方 ， 并 在 现场 完成 相关 配置 ( 表 7-15〉。 当 发 生 故 障 

0 
二 半 o 


表 7-15 ”现场 维护 的 应 对 时 间 范 例 























工作 ”|e 服务 受理 时 间 : 星期 一 ~ 星期 五 (8:45~17:30〉 ， 不 包括 节 
日 4 小 | 假日 以 及 年 末年 初 (12/30~1/3) 时 段 








时 内 ”|e 现场 应 对 时 间 : 4 小 时 内 应 对 

应 对 注 | 接 收 到 用 户 企 业 关 于 硬件 故障 的 联络 信息 后 ， 维 护 方 会 在 4 

1 小 时 内 赶赴 设备 所 在 地 ， 实 施 硬件 修复 工作 。 只 在 工作 日 的 
8:45 至 17:30 之 间 受 理 用 户 的 报 障 


























e@ 服务 受理 时 间 : 365 天 24 小 时 

e@ 现场 应 对 时 间 : 4 小 时 内 应 对 

接收 到 用 户 企业 关于 硬件 故障 的 联络 信息 后 ， 维 护 方 会 在 4 
小 时 内 赶赴 设备 所 在 地 ， 实 施 硬件 修复 工作 








e@ 服务 受理 时 间 : 星期 一 ~ 星期 五 (8:45~17:30) ， 不 包括 节 








假日 以 及 年 末年 初 〈12/30~13) 时 段 
e 现场 应 对 时 间 : 下 一 个 工作 日 

接收 到 用 户 企 业 关于 硬件 故障 的 联络 信息 后 ， 维 护 方 会 在 下 

一 个 工作 日 的 8:45 至 17:30 时 间 段 内 赶赴 设备 所 在 地 ， 实 施 硬 

i 
障 
























































注 1: 该 条 款 中 的 4 小 时 内 应 对 ， 仅 限于 维护 方 能 够 到 达 的 地 理 范围 以 内 。 
退 返 维护 


退 返 〈send back) 维护 合同 条 款 表示 当 用 户 发 现 硬件 存在 
故障 时 ， 由 用 户 将 有 故障 的 设备 退回 〈send) 到 销售 代理 
商 处 ， 随 后 销售 代理 商 将 维修 好 的 产品 或 同等 商品 再 返 送 
(back) 回 用 户 处 。 设 备 的 蔡 换 以 及 对 蔡 换 设备 进行 的 设 
置 由 用 户 完 成 。 

预 送 退 返 维护 

预 送 退 返 维护 合同 条 款 是 指 当 设 备 出 现 故障 时 ， 由 销售 代 
理 商 预先 送出 蔡 换 设备 〈 预 送 ) ， 由 用 户 完 成 设置 。 用 户 
则 在 更 换 设备 后 将 故障 设备 退回 到 销售 代理 商 。 
07.10.02 ”厂商 保修 

同 其 他 的 电气 产品 一 样 ， 路 由 器 中 的 软 人 硬件 也 会 由 生产 厂 


商 提 供 售后 保修 。 不 同 产 品 的 保修 期 也 不 同 ， 但 大 多 数 产 
品 的 保修 期 都 为 1 年 。 在 保修 期 内 ， 如 果 产 品 人 硬件 出 现 故 























和 


路 由 嚣 在 网 络 中 属于 骨干 产品 ， 使 用 时 间 几 乎 都 会 超过 1 
年 。 保 修 期 1 年 过 后 ， 产 品 发 生 故 障 却 无 法 修理 或 蔡 换 ， 
发 现 软件 存在 bug 却 无 法 修复 束 会 成 为 令 用 户 烦 恼 的 问 

题 。 因 此 ， 用 户 一 般 都 会 每 年 ， 或 者 以 3 年 或 5 年 为 期 限 
同 三 两 或 销售 代理 商 签订 维护 合同 。 通 常 这 一 类 的 维护 合 
同 需 额 外 文 付 一 定 的 费用 ， 但 在 维护 合同 期 限 内 广 商都 会 
免费 提供 软件 版 本 升级 以 及 免费 修理 或 蔡 换 人 硬件 的 服务 。 


在 购买 海外 生产 厂商 的 产品 时 ， 从 产品 到 岸 后 的 3 个 月 
(90 天 ) 之 内 ， 如 果 发 现 硬件 存在 缺陷 ， 用 户 能 够 以 
DoA (Dead on Arrival， 到 货 即 损 ) 为 由 提出 替换 设备 的 
申请 。 如 果 在 以 后 的 时 间 发 现 硬件 故障 ， 则 需要 执行 名 为 
RMA (Return Material Authorization， 退 货 授 权 ) 的 故障 
产品 退货 流程 。 
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Architecture 


http://www.cisco.com/en/US/products/hw/routers/ps274/p 


图 3-47 思科 公司 Cisco 7200 Series Router 
Architecture 


http:/www.cisco.com/en/US/products/hw/routers/ps341/p 


。 图 3-50 Wikipedia 纵横 通路 交换 
http://ja.wikipedia.org/wiki/%E3%83%95%E3%82%A1Y 
。 图 3-52 Wikipedia Head-of-line blocking 
http://en.wikipedia.org/wiki/File:HOL,_blocking.png 
。 图 3-56 Alaxala Netwoeks 公司 容错 网 络 解说 
http:/www.alaxala.com/jp/solution/high_reliability/explai 
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e。 图 4-5、 图 4-6 Extreme Networks 公司 L3 快速 入 门 
讲解 


http:/www.extremenetworks.co.jp/training/lan/index.htm 


图 4-11 富士 通 公 司 负载 均衡 入 门 


http://fenics.fujitsu.com/products/ipcom/catalog/data/1/1. 


图 4-12 Macnica Networks 公司 AppDirector 


http:/www.macnica.net/radware/appdirector.html/ 


图 4-19 Alaxala Networks 公司 AX7800S、 
AX54000S 软件 使 用 说 明 书 Vol.1 


http://www.alaxala.com/jp/techinfo/archive/manual/AX54 


图 4-21 Allied-Telesis 公司 CentreCOM 9424T/SP 命 
令 行 参考 手册 2.3 交换 /端口 认证 

http://www.allied- 
telesis.co.jp/support/list/switch/9400/comref/overview_08 
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。 图 5-11 后 闲 哲 也 电子 工作 实验 室 TCP/IP 通信 编程 
Ver.2 TCP 协议 


http:/www.picfun.comylan19a.html 
第 6 章 
。 图 6-1 Wikipedia Airpott 


http://en.wikipedia.org/wiki/File: Apple_graphite_airport_ 


照 户 出 处 和 提供 方 


。 A10 Networks 公 司 

。 BreakingPoint Systems 公 司 
。 Dell SonicWALL 公 司 
。F5 Networks 日 本 公司 
e。 Intel 公 司 

。IBS 日 本 公司 

。 Allied-Telesis 公 司 

。 Alaxala Networks 公 司 
。 Array Networks 公 司 
。 Anritsu 公 司 

。 Ixia 公 司 

。 Innotech 公 司 

e Elecom 公 司 

e。 IODATA 设 备 公司 

e。 AINEX 公 司 

。 东阳 技术 公司 

e Net Machinism 公 司 


e Buffalo 公 司 


Sanwa Supply 公 司 

思科 日 本 公司 

Juniper Networks 公 司 

精工 精密 公司 

摄 津 金属 工业 公司 

Check Point 软 件 技术 公司 
Microchip Technology 日 本 公司 
D-Link 日 本 公司 

Dell 公 司 

电子 通商 公司 

日 本 电气 公司 

Radware 日 本 公司 

Buffalo 公 司 

Barracuda Networks 日 本 公司 
Paloalto Networks 日 本 公司 
日 立 电 线 公 司 

Fortinet 日 本 公司 

Black Box 网 络 服 务 公司 
BlueCurrent 日 本 公司 


YAMAHA 公 司 


。 Raritan 日 本 公司 


。 Logitec 公 司 


看 完了 


如 采 您 对 本 书 内 容 有 疑问 ， 可 发 邮件 至 
contact@turingbook.com， 会 有 编辑 或 作 译 者 协助 答疑 。 也 
可 访问 图 灵 社 区 ， 参 与 本 书 讨论 。 


如 果 是 有 关 电 子 书 的 建议 或 问题 ， 请 联系 专用 客服 邮箱 : 


ebookturingbook.com。 
在 这 里 可 以 找到 我 们 : 


。 微 博 @ 图 灵 教 育 : 好 书 、 活 动 每 日 播报 

。 微 博 @ 图 灵 社 区 : 电子 书 和 好 文章 的 消 筷 

。 微 博 @ 图 灵 新 知 : 图 灵 教 育 的 科普 小 组 

。 微 信 图 灵 访 谈 : ituring_interview， 讲 述 码 农 精彩 人 生 
。 微 信 图 灵 教 育 : turingbooks 
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